6000 norske førerkort eksponert via bildelingstjeneste. Da alarmen gikk tok det bare 39 minutter før fiksen var klar

[Martin Braathen Røise]

6000 norske førerkort eksponert via bildelingstjeneste. Da alarmen gikk tok det bare 39 minutter før fiksen var klar

[Aetius]

"fult fokus" faktisk. ;-)

[G]

 

– For oss er tillitt til kundene det viktigst. Ved å være transparente om denne type hendelser strykes dette tillitsforholdet, sier han til digi.no.

 

Herlig

[Aiven]

Nå er jeg ikke kode-ekspert, men er ikke det en veldig amatørmessig og unødvendig feil?

[Tastaturskriver]

Nå er jeg ikke kode-ekspert, men er ikke det en veldig amatørmessig og unødvendig feil?

Feilen er ekstremt amatørmessig ja, noe veldig mange slike nettsider nettopp er.

[Emancipate]

Er det egentlig nødvendig å lagre bilde av førerkort?

[digimator]

Er det egentlig nødvendig å lagre bilde av førerkort?

 

Det er vel for å dokumentera at bilen er utleigd til ein person med gyldig førarkort.

[Emancipate]

Men de trenger ikke å lagre førerkortet etter at de har sett på det. De kan lagre at de har sett på det og det og godkjent det.

[NgZ]

Er det egentlig nødvendig å lagre bilde av førerkort?

Jeg er registrert hos Hertz Bilpool, men har ikke fått noen epost. jeg lurer på om det kan skyldes at jeg registrerte meg ved oppmøte på et utleiepunkt og ikke på nett. Lurer på om det kanskje bare er de som har registret seg på nett og lastet opp bilde av førerkortt som har dette lagret hos Hertz? Men du har rett, men burde jo kunne slette bildet og kun oppbevare førerkortnummer når førerkortet er kontrollert. Det er jo sånn man gjør det ved annen ID-kontroll.

[<generisk_navn>]

 

Er det egentlig nødvendig å lagre bilde av førerkort?

 

Det er vel for å dokumentera at bilen er utleigd til ein person med gyldig førarkort.

Det er litt "EDB-til-fots" å lagre et bilde av førerkortet for å bruke dette til verifisering. Det burde være enkelt nok å lage tokens som sier nok om førerkortet (gyldighet, klasse m.m.) til kunden så snart kundens førerkort er verifisert. Så kan man gjerne fortsatt lagre bildet av førerkortet, men da må man lagre det utilgjengelig for ekstern tilgang.

[likferd]

Nå er jeg ikke kode-ekspert, men er ikke det en veldig amatørmessig og unødvendig feil?

Jeg tror hva som har skjedd er at nettsiden spør serveren om data via en request, f.eks (...).no/førerkort?id=2342, men de har glemt å sjekke om den inloggede brukeren faktisk har rettigheter til å hente ut informasjonen. Man kunne da bare lage et verktøy som spurte nettsiden om en tallrekke i tur og orden, og få ut alle registrerte førerkort.

 

Rimelig amatørjobb ja. I tillegg til at API ikke er sikret, bør man ikke bruke et nummer i en stigende tallrekke som offentlig vist ID av nettopp denne grunnen, men heller en tilfeldig-generert ID av en viss lengde. Straks litt vanskeligere å tippe andre ID'er, om den er "4b9q32ngtdfepg45dfgg546" enn "128"

Endret 11. mai 2018 av likferd

[Bolson]

Men de trenger ikke å lagre førerkortet etter at de har sett på det. De kan lagre at de har sett på det og det og godkjent det.

 

Poenget eller problemet når det gjelder Hertz bilpool er at du ikke er i fysisk kontakt med noen for å leie en bil. Man melder seg inn via nettet, får tilsendt en brikke som kan brukes til å låse opp bilen man leier. Når man leier en bil får man sms med registreringsnummer og hvor bilen står.

 

Så trolig er løsningen slik at man laster opp et bilde av førerkort, og så verifiseres det automatisk i systemet. Og da trenger man faktisk et bilde lagret for eventuell etterkontroll, eller når systemet ikke klarer det automatisk.

 

Men som pekt på - dette kunne vært gjort langt mer intelligent. Helt korrekt burde dette vært en tjeneste som på sikker måte validerte mot førekortregisteret, og hvor BankID ivaretok sikker personidentifisering. Systemet hos Hertz ville da ikke ha behov for annen info enn at førekort er OK. Systemet kunne krevd revalidering hvert år.