British Airways ja tietoturva

[Juhani Hämäläinen 38]

BA pyytää aisakastaan lähettämään sosiaalisen median kautta (Twitter)henkilötiedot ja passin numeron sekä pankkikortin neljä viimeistä numeroa

ja sähköpostiosoitteen ja kotiosoitteenperutun lennon vuoksi perustellen tätä tietoturvauudistuksella.

BA käyttää myös seurantaevästeitä kun käyttäjät tekevät lähtösevityksiään ja lähettää sitten tietoja kolmansille osapuolille.

 

https://www.iltalehti.fi/digiuutiset/201807202201086171_dx.shtml

[Olavi Uotila 184]

Siis, voiko joku pakottaa jonkun käyttämään twitteriä? Ei kai nyt sentään !

[Heikki Pullinen 135]

Mikä on twitter ? Heikki 76 v. 

[Pekka Holopainen 101]

Kysy D. Trumpilta (72 vee).

 

Ja sitten ihan vakavasti. Pian ollaan siinä tilanteessa, että ilman ns. älypuhelimia ja niiden sovelluksia ei selviä jokapäiväisistä elintärkeistä asioista. Järjetöntä vauhtisokeutta. Ei huomioida lainkaan sitä, että Suomessakin on "miljoona" vanhusta, joilla ei ole harmainta aavistusta noiden vempainten ja ohjelmien käytöstä.

[Pentti Köylijärvi 42]

21 tuntia sitten, Pekka Holopainen kirjoitti:

Ja sitten ihan vakavasti. Pian ollaan siinä tilanteessa, että ilman ns. älypuhelimia ja niiden sovelluksia ei selviä jokapäiväisistä elintärkeistä asioista. Järjetöntä vauhtisokeutta. Ei huomioida lainkaan sitä, että Suomessakin on "miljoona" vanhusta, joilla ei ole harmainta aavistusta noiden vempainten ja ohjelmien käytöstä.

Kehitystä ei pidä jarruttaa, mutta toki ohjata, mm. juuri tietoturva-asiat. Kyllä tietokoneen ja älypuhelimen käyttö sekä digitaaliosaaminen ovat luku- ja kirjoitustaitoon verratava asia. Samalla lailla reilu sata vuotta sitten iso osa kansasta ei voinut hoitaa asioitaan ja parantaa asemaansa, kun eivät osanneet lukea ja kirjoittaa. Tosin tietotekniikka on kehittynyt "hieman" nopeammin kuin kirjoitustaito ja painotekniiikka aikanaan.

 

[Esa Karanko 1 317]

Yhteisöpalvelut ja älypuhelimet

 

Jos lennonjohdon tietokoneet unohdetaan, niin ensimmäinen asiallinen yhteyteni tietokonemaailmaan oli WordStar. Sitä pyöritti CP/M (Control Program for Microcomputers). Hiiret lymyilivät piiloissaan.

 

Sitten kaikki on mennyt uusiksi lukemattomia kertoja.

 

Saapa nähdä kuinka kauan pärjään ilman yhteisöpalveluja. Sovelluksia monenlaisten asioiden hoitamiseen olen kyllä jo joutunut läppäriini, tablettiini ja kahteen älypuhelimeeni asentamaan.

 

Uusin haaste on sukellustietokoneen päivittäminen. Taidan mennä rauhoittelemaan kapinoivia hermojani jollekin terassille.

 

Esa

 

PS. Miksi niitä kutsutaan älypuhelimiksi? Eihän niissä mitään älyä ole. Epäilen, että minäkin olen fiksumpi. Yhden veemäisen puhelimen tosin heitin mereen.

[Jori Lamberg 90]

Paljon mahdollista että BA on sössinyt,  mutta täytyy muistaa että tässä on yhden henkilön sana johon luotetaan. Vai näkyykö nämä vielä jossain? Onko kukaan nähnyt BA vastinetta aiheeseen?

[Juhani Hämäläinen 38]

3 tuntia sitten, Jori Lamberg kirjoitti:

Paljon mahdollista että BA on sössinyt,  mutta täytyy muistaa että tässä on yhden henkilön sana johon luotetaan. Vai näkyykö nämä vielä jossain? Onko kukaan nähnyt BA vastinetta aiheeseen?

Heit jutun alussa olevassa kuvassa kuvakaappaus Twiiteristä ( BA:n viesti).

 

https://www.iltalehti.fi/digiuutiset/201807202201086171_dx.shtml

[Ilkka Sydänmetsä 30]

Niin tuossahan henkilö on Twitterissä ottanut yhteyttä ja BA on pyytänyt lisätietoja. Olisiko tuossa sitten pitänyt ilmoittaa asiakkaalle, että ”soita puhelimella jos haluat asiasi etenevän, twitterissä me vaan kommentoidaan yleisellä tasolla”?

[Teemu Lokka 57]

Itse asioin Twitteristä useiden tahojen kanssa. Usein pyytävät laittamaan yksityis viestin jos haluavat arkaluontoista tietoja. 

[Jori Lamberg 90]

2 tuntia sitten, Juhani Hämäläinen kirjoitti:

Heit jutun alussa olevassa kuvassa kuvakaappaus Twiiteristä ( BA:n viesti).

 

https://www.iltalehti.fi/digiuutiset/201807202201086171_dx.shtml

Ja kuvalla voi valehdella enemmän kuin tuhat sanaa...

[Pekka Holopainen 101]

13 tuntia sitten, Pentti Köylijärvi kirjoitti:

Kehitystä ei pidä jarruttaa, mutta toki ohjata, mm. juuri tietoturva-asiat. Kyllä tietokoneen ja älypuhelimen käyttö sekä digitaaliosaaminen ovat luku- ja kirjoitustaitoon verratava asia. Samalla lailla reilu sata vuotta sitten iso osa kansasta ei voinut hoitaa asioitaan ja parantaa asemaansa, kun eivät osanneet lukea ja kirjoittaa. Tosin tietotekniikka on kehittynyt "hieman" nopeammin kuin kirjoitustaito ja painotekniiikka aikanaan.

 

No, valitsin ehkä taas sanani hätäisesti, kun siitä tuollainen väärinkäsitys syntyi. En toki vastusta tekniikan, digiosaamisen, tietoturvan, jne. kehitystä. Tarkoitin sitä, että maassa on valtavasti ikäihmisiä, jotka eivät koskaan ole opetelleet minkään tietämyslaitteen käsittelyä eivätkä koskaan tule/pysty sitä opettelemaankaan. Jos "perinteiset tavat" suljetaan liian pian pois tai tehdään vaikeiksi/kalliiksi (kuten vaikkapa pankeissa asioiminen), joutuvat nämä ihmiset pahasti paitsioon. Mahdollisuus toimia myös "vanhoilla konsteilla" tulee säilyttää ainakin niin kauan, että vanha sukupolvi ei ole täällä enää niitä tarvitsemassa.

[Juha Lampi 282]

Laajemminkin: yhteiskunnan toimintakyvyn tulee säilyä, vaikka joku nykäisisi töpselin seinästä.

[Robin Karinen 11]

7/20/2018 at 13.35, Juhani Hämäläinen kirjoitti:

BA pyytää aisakastaan lähettämään sosiaalisen median kautta (Twitter)henkilötiedot ja passin numeron sekä pankkikortin neljä viimeistä numeroa

ja sähköpostiosoitteen ja kotiosoitteenperutun lennon vuoksi perustellen tätä tietoturvauudistuksella.

BA käyttää myös seurantaevästeitä kun käyttäjät tekevät lähtösevityksiään ja lähettää sitten tietoja kolmansille osapuolille.

 

https://www.iltalehti.fi/digiuutiset/201807202201086171_dx.shtml

Eiköhän tässäkin tapauksessa ole pyydetty tietoja Twitterissä, koska se on ollut asiakkaan valitsema kommunikointiväline lentoyhtiön kanssa.

Mitä tulee verkkosivujen käyttäjien seurantaan, niin sinänsä tässä ei ole mitään uutta.. Tuo tietenkin on hieman kyseenalaista että AdBlockerin kanssa ei pysty tekemään checkiniä...

Lisää aiheesta: https://medium.freecodecamp.org/how-airlines-dont-care-about-your-privacy-case-study-emirates-com-6271b3b8474b

Aikaisemmin (2017) siis esimerkiksi Emirates jakeli esimerkiksi passin numeroa monille eri kolmansille osapuolille ilman sen kummempaa hyväksyntää...

[Harri Mattila 134]

Tuota, miksei AdBlockerin kanssa pysty tekemään check-iniä? Itse ainakin hyvin pystyn tekemään SAS:lle, Lufthansalle jne....

[Olavi Uotila 184]

‎22‎.‎7‎.‎2018 at 09.27, Esa Karanko kirjoitti:

Yhteisöpalvelut ja älypuhelimet

 

 

Esa

 

PS. Miksi niitä kutsutaan älypuhelimiksi? Eihän niissä mitään älyä ole. Epäilen, että minäkin olen fiksumpi. Yhden veemäisen puhelimen tosin heitin mereen.

Nykyään kaikki on olevinaan älykästä, ml kahvinkeitin ja leivänpaahdin. Ollessani koulupoika, oli vain pari älyjuttua: Älyvapaa ja älykääpiö. Myöhemmin tuli vielä TV-hupiohjelma ÄWPK eli ÄlyWapaaPaloKunta. Nykyään koko älyjuttu on kärsinyt inflaation.

[Ilkka Mäkelä 1 228]

British Airways on joutunut ilmoittamaan että kymmenien tuhansien asiakkaiden maksu- tai luottokorttitiedot on mahdollisesti varastettu aikaisemmin tänä vuonna. Mielenkiintoista on, että 77000 asiakkaan täydelliset tiedot ovat mahdollisesti joutuneet vääriin käsiin. Mukaanlukien nimi, osoitteet, kortin numero, voimassaoloaika ja vieläpä CVV eli esim. kortin takapuolelta löytyvä 3- tai 4-numeroinen varmistusluku.

Lainaa

British Airways says it has identified another 185,000 customers who may have had their credit card information stolen in a data breach earlier this year.

BA said it was notifying the owners of 77,000 payment cards, not previously contacted, who may have had personal information stolen. Their name, billing address, email address, card payment information, including card number, expiry date and CVV have all been potentially compromised.

https://news.airwise.com/story/ba-says-185000-more-customers-affected-by-data-breach

[Tero Hannula 14]

Tuo syyskuussa havaittu tietovarkaus tapahtui murtautumalla BA:n web-infraan ja muuttamalla siellä yhden JavaScript-kirjaston (Modernizr) sisältöä niin että luottokorttitietoja kysyvä web-lomake meni BA:n lisäksi myös hyökkääjien palvelimelle Romaniassa. Tiedot vuoti siis asiakkaiden omista laitteista, johon peukaloitu sivu latautui. Tämä koski sekä web-sivua että mobiiliappia, molemmat käytti samaa sivua. Tämä selittää myös CVV-numeron vuotamisen, BA ei sitä sanojensa mukaan talleta.

Tämä on muistutus siitä että yritysten kanssa ei pidä kommunikoida luottokorttitietojen kautta. Se että yritys on iso, tunnettu ja muuten luotettava tai operatiivisessa toiminnassaan jopa turvallinen ei välttämättä tarkoita sitä he pystyisivät ylläpitämään riittävää turvallisuustasoa IT-järjestelmissään. Isoilla yrityksillä on isot liikennemäärät, isot järjestelmät, paljon väkeä, paljon kaikenlaista kirjavuutta, eli paljon kaikkea missä asiat voi mennä pieleen. Yksilön tasolla riski pienenee sitä enemmän mitä vähemmän levittelee luottokorttitietojaan.

Edit: Se jokakertainen saarna vielä: laittakaa luottokorteissanne maarajoitukset voimaan. Jos korttitiedot vuotaa ja joku yrittää niillä ostaa maailmalla jotain, ei ostos mene läpi. Joillakin pankeilla, kuten Danskella, tästä tulee myös tekstiviesti, jolloin tietää että on aika uusia kortti. Maarajoitukset ovat perinteisesti olleet oletuksena pois päältä, asetuksia voi säätää verkkopankissa.

Edit 2: tarkennettu että tuo ensimmäinen tekstikappale koskee syyskuussa havaittua tietovarkautta, ei tätä jälkimmäistä, jonka tekotavasta ei ole vielä paljoa tietoa tihkunut.

Muokattu: Lokakuu 28, 2018, käyttäjä: Tero Hannula
typoja

[Teemu Lokka 57]

1 tunti sitten, Tero Hannula kirjoitti:

Edit: Se jokakertainen saarna vielä: laittakaa luottokorteissanne maarajoitukset voimaan. Jos korttitiedot vuotaa ja joku yrittää niillä ostaa maailmalla jotain, ei ostos mene läpi. Joillakin pankeilla, kuten Danskella, tästä tulee myös tekstiviesti, jolloin tietää että on aika uusia kortti. Maarajoitukset ovat perinteisesti olleet oletuksena pois päältä, asetuksia voi säätää verkkopankissa.

Käsittääkseni ainakin Nordealla ne ovat päällä ja menevät päälle kun kortti uusitaan. Yksi täälläkin vaikuttava henkilö tuossa taannoin törmäsi asiaan kun lähti kaukomaille ja yritti Dohassa maksaa kortilla. Lari N. Korjaa toki jos nyt muistin väärin näistä sun kortti ongelmista viime reissulla .

[Tero Hannula 14]

Danskella on näköjään tehty sellainen muutos maarajauksiin, että kun menee kortin kanssa ulkomaille ja käyttää korttia sirullisessa laitteessa tunnusluvun kanssa, maarajoitus poistuu kyseiseltä alueelta automaattisesti ja samalla aikaisempi asetus (esim. vain Suomi sallittu) poistuu automaattisesti.

[Tumi Hämäläinen 727]

Ja taas palatessa Suomeen, rajoitukset astuvat käytäntöön kun korttia käyttää sirulla tunnusluvun kanssa.

Muokattu: Lokakuu 27, 2018, käyttäjä: Tumi Hämäläinen

[Harri Heliövaara 13]

23 tuntia sitten, Ilkka Mäkelä kirjoitti:

British Airways on joutunut ilmoittamaan että kymmenien tuhansien asiakkaiden maksu- tai luottokorttitiedot on mahdollisesti varastettu aikaisemmin tänä vuonna. Mielenkiintoista on, että 77000 asiakkaan täydelliset tiedot ovat mahdollisesti joutuneet vääriin käsiin. Mukaanlukien nimi, osoitteet, kortin numero, voimassaoloaika ja vieläpä CVV eli esim. kortin takapuolelta löytyvä 3- tai 4-numeroinen varmistusluku.

https://news.airwise.com/story/ba-says-185000-more-customers-affected-by-data-breach

Satuin käyttämään luottokorttia juuri pahaan aikaan BA:n nettisivuilla ja muutaman viikon päästä yritettiin Amexiani käyttää huijausostoksiin netissä. Onneksi Amexilta soittivat heti ja korvasivat huijausostot, mutta seurauksena silti ärsyttävää säätöä kortin sulkemisen ja uuden kortin tilaamisen kanssa varsinkin kun olin tapahtumaaikaan reissussa. BA on ottanut tilanteen kommunikoinnissa uhrin roolin ja suostuu korvaamaan ainoastaan suorat rahalliset menetykset eli käytännössä tiedossa ei ole mitään korvauksia suurimmalle osalle asiakkaita. Muutama joukkokanne tosin on jo laitettu pystyyn, joten on vielä mahdollista, että BA joutuu isompaan vastuuseen. Mielenkiintoista on myös nähdä, seuraako tästä tietovuodosta ongelmia myös sen suhteen, että esim. nimi, osoite ja sähköpostitiedot ovat vuotaneet. Voiko niillä saada aikaiseksi jotain harmia?

[Tatu Koiranen 1 876]

58 minuuttia sitten, Teemu Lokka kirjoitti:

Käsittääkseni ainakin Nordealla ne ovat päällä ja menevät päälle kun kortti uusitaan. Yksi täälläkin vaikuttava henkilö tuossa taannoin törmäsi asiaan kun lähti kaukomaille ja yritti Dohassa maksaa kortilla. Lari N. Korjaa toki jos nyt muistin väärin näistä sun kortti ongelmista viime reissulla .

Kuulostaapa tosi näppärältä. Ymmärtäisin homman hyödyllisyyden debit-korttien kanssa, mutta creditissä tuosta tulisi ainakin minulle enemmän vaivaa kuin hyötyä (helpompi selvitellä joku kortin väärinkäyttö kuin olla toimimattoman kortin kanssa maailmalla).

Enpä näe myöskään syytä rajoittaa nettikäyttöä korttini osalta mitenkään, debitillä en tietenkään netissä maksa ja debitin cvv (tai vastaava numero) on raaputettu ulkomailla käytettävistä korteista kokonaan pois.

[Tatu Koiranen 1 876]

5 minuuttia sitten, Harri Heliövaara kirjoitti:

Onneksi Amexilta soittivat heti ja korvasivat huijausostot, mutta seurauksena silti ärsyttävää säätöä kortin sulkemisen ja uuden kortin tilaamisen kanssa varsinkin kun olin tapahtumaaikaan reissussa.

Miten sellaisia ostoja, joita et ole vielä edes maksanut, voidaan korvata sinulle?

[Harri Heliövaara 13]

12 minuuttia sitten, Tatu Koiranen kirjoitti:

Miten sellaisia ostoja, joita et ole vielä edes maksanut, voidaan korvata sinulle?

Korvata oli ehkä väärä termi, mutta luottokorttilaskulla näkyy siis sekä nuo huijausostokset että samansuuruinen hyvitys.