Problem: Allvarligt säkerhetsproblem Biltema app BankID

Diskussion i 'Återförsäljare och tillverkare' startad av discomega, 24 sept 2021.

Taggar:
  1. discomega

    discomega Teen Droid Medlem

    Blev medlem:
    14 feb 2013
    Inlägg:
    278
    Mottagna gillanden:
    160
    Telefon:
    Iphohne 14 Pro Max

    MINA ENHETER

    Telefon:
    Iphohne 14 Pro Max
    ROM:
    iOS 16.6
    Telefon 2:
    Poco X3 Pro
    ROM:
    Android 13
    Info:
    Evolution-X
    Igår(?) öppnade en ny Biltema i Göteborg nära där jag bor. Så jag tankade Biltemas app från appstore och valde varuhus och loggade in med BankID. Till min förvåning så kom jag in på en annan persons konto i Malmö! Testade med både Iphone och Android app. Jag kontaktade direkt biltema där jag fick svaret att deras IT avd jobbar på problemet. Vilket antyder att de är medvetna om detta. Men skrämmande att det kan gå så snett.
     
    Das Erdbeerkuchen gillar detta.
  2. xTQ

    xTQ Youth Droid Medlem

    Blev medlem:
    9 okt 2016
    Inlägg:
    119
    Mottagna gillanden:
    106
    Jag testade appen och loggade in med bankid. Den visar mitt namn och ingen annans.
     
    discomega gillar detta.
  3. discomega

    discomega Teen Droid Medlem

    Blev medlem:
    14 feb 2013
    Inlägg:
    278
    Mottagna gillanden:
    160
    Telefon:
    Iphohne 14 Pro Max

    MINA ENHETER

    Telefon:
    Iphohne 14 Pro Max
    ROM:
    iOS 16.6
    Telefon 2:
    Poco X3 Pro
    ROM:
    Android 13
    Info:
    Evolution-X
    Det var iof bra. Vill inte posta hur det ser ut hos mig för röjjer jag en annan persons kontouppgifter. Hmm, undrar hur jag "bevisar" detta så ni inte tror jag är nåt troll som söker uppmärksamhet. Det är trots allt en allvarlig säkerhetsbrist.
     
  4. wirre

    wirre Adult Droid Medlem

    Blev medlem:
    7 apr 2010
    Inlägg:
    739
    Mottagna gillanden:
    528

    MINA ENHETER

    Han har väl matat in fel personnummer på sig själv. Alltså ditt :)
     
    discomega gillar detta.
  5. discomega

    discomega Teen Droid Medlem

    Blev medlem:
    14 feb 2013
    Inlägg:
    278
    Mottagna gillanden:
    160
    Telefon:
    Iphohne 14 Pro Max

    MINA ENHETER

    Telefon:
    Iphohne 14 Pro Max
    ROM:
    iOS 16.6
    Telefon 2:
    Poco X3 Pro
    ROM:
    Android 13
    Info:
    Evolution-X
    Det verkar vara löst nu. Jag loggade ut och loggade in igen. Kom in på mitt konto.

    Jaa, så måste det vara. Känner mig lite korkad nu :teeth::teeth::teeth:
     
    svenix gillar detta.
  6. Asawi

    Asawi Android Apprentice Medlem

    Blev medlem:
    6 jul 2012
    Inlägg:
    4 433
    Mottagna gillanden:
    4 716
    Operatör:
    Vimla
    Telefon:
    Xiaomi Mi11 Lite

    MINA ENHETER

    Operatör:
    Vimla
    Telefon:
    Xiaomi Mi11 Lite
    Platta:
    iPad Air 2 LTE
    Fast då borde väl Biltemas system läsa in de personuppgifter som hör till det inmatade personnumret? Alltså trådskaparens. Eller tänker jag alldeles del nu? (Har inte något Biltema-konto så jag vet inte hur det ser ut där men så brukar det fungera på de ställen där man lägger in personnummer. Det är ju liksom det som är vitsen med att ange personnumret.)
     
  7. Kronvall

    Kronvall Youth Droid Medlem

    Blev medlem:
    24 mar 2021
    Inlägg:
    140
    Mottagna gillanden:
    257
    Det är nog lite strul med dom för jag kan inte ens logga in med bankid i deras app, lite som att dom stängt av funktionen. Men kanske bara är för mig
     
  8. wirre

    wirre Adult Droid Medlem

    Blev medlem:
    7 apr 2010
    Inlägg:
    739
    Mottagna gillanden:
    528

    MINA ENHETER

    Nej jag har inte heller Biltema-konto så jag vet inte vad som hämtas och inte hämtas. Jag bara gissade så klart. Det kan självklart vara något allvarligare fel också.
     
  9. inact_046

    inact_046 Professional Droid Inaktiverad

    Blev medlem:
    21 apr 2021
    Inlägg:
    2 217
    Mottagna gillanden:
    7 098

    MINA ENHETER

    Det korrekta sättet att implementera inloggning med Bank ID är att även registrering av konto ska ske med Bank ID. Kunden ska aldrig behöva mata in sitt personnummer.

    Troligen är det så att de har migrerat över kunder från ett äldre "dummare" system där personnummer inhämtades manuellt.

    Riktigt uselt av Biltema att inte validera att uppgifterna i deras kontoregister stämmer mot informationen som Bank ID returnerar. Det är ju en mycket enkel kontroll och om det är mismatch (och kontot är skapat tidigare utan Bank ID) ska inloggningen nekas.

    :sealed:
     
    bernard och discomega gillar detta.
  10. Heleg

    Heleg Professional Droid Medlem

    Blev medlem:
    5 feb 2016
    Inlägg:
    2 975
    Mottagna gillanden:
    2 099
    Det ska ju vara totalt omöjligt att kunna logga in på någon annans BankID så det måste varit mismatch i biltemas databas, knappast något allvarligt säkerhetsproblem med BankID eftersom det borde endast berört biltemas kunder.
     
  11. GmbH

    GmbH Professional Droid Medlem

    Blev medlem:
    9 okt 2012
    Inlägg:
    2 160
    Mottagna gillanden:
    999
    Telefon:
    S23

    MINA ENHETER

    Telefon:
    S23
    använde faktiskt deras app idag för att komma åt mina kvitto, inga problem alls