SL tåg


När Esbjörn Ekberg tidigare i januari vände sig till SL:s kundtjänst för att få pengarna tillbaka efter ett havererat biljettköp blev han ombedd att uppge en rad känsliga uppgifter. Problemet var bara att chatten inte var någon säker kommunikationskanal.

För sedan kundtjänsten togs över av företaget Releasy i oktober 2015 har kundchatten varit okrypterad. Ingen ssl, inget dns-skydd, bara ett ip-nummer.

– Jag blev ombedd att lämna Accesskortnummer, de första sex siffrorna i mitt betalkort samt de fyra sista. För att få pengarna tillbaka pengarna behövde jag ange e-post, mobilnummer och bankkonto, säger han till IDG.se.

Läs också: Här är algoritmen som kan förutse kaos i pendeltågstrafiken

Som utvecklare säger han att han kanske är extra uppmärksam, men det är inte alla som har kunskap eller vet vilka varningstecken man ska leta efter. Han ringde istället upp via telefon och påpekade då att det är en dålig idé att uppmana resenärer att ange den typen av information i chatten. Samt att de inte var första gången felet påpekades.

– När man kommer till deras supportsida så är den krypterad, där har de till och med lagt in EV-certifikat. Det finns ingen anledning att inte kryptera alla sidor. De har ju den ambitionen, förutom just i chatten. Jag påpekade detta första gången redan i oktober, säger Esbjörn Ekberg.

Men responsen uteblev. Vilket han i ett första steg tycker att man får ha förståelse för, man måste få tid att förbättra saker som gått fel. Men efter flera månader borde något hänt säger han.

– Detta är ett av Sveriges största kommunikationsbolag, det rimmar illa med landstingets uppdrag. Men nu undrar man nästan om det är medvetet slarv, som att de väntat på en incident, säger han.

På SL bekräftar man att kundchatten varit, och fortfarande är okrypterad.

– Det stämmer och det har blivit en miss. Vi har kravställt till vår leverantör att chatten ska vara krypterad, men det har inte blivit så. Vi har lagt till en ny kravbeställning. Men fram tills att den är införd är tjänsten okrypterad, säger Ronnie Johansson, pressredaktör på SL.

Kommer resenärer med ärenden som kräver uppgifter om bankkonton, telefonnummer och andra personuppgifter kommer SL istället att ringa upp. Så som det funkar med kundfrågor på Facebook.

Att en resenär hört av sig och påtalat felet är inget som Ronnie Johansson känner igen.

Läs också: Så håller Trafikkontoret koll på 11 000 trafikljus

– Vi uppmärksammades på detta nu. Där ska vi givetvis ha följt upp tidigare, men vi är glada att det kommit fram, säger han.

SL säger sig inte fått några rapporter om att resenärers personuppgifter skulle ha hamnat i orätta händer. Sedan i slutet av slutet av november sparar de automatiskt gamla konversationer. De har nu lagts offline.

– ​Som en kortsiktig lösning för att säkra att även gamla konversationer krypteras så har vi sedan i eftermiddag stängt av funktionen att automatiskt spara de konversationer som görs via chatten, säger Ronnie Johansson.

Nu blir det en diskussion med leverantören om varför tjänsten inte krypterades. Vad de diskussionerna mynnar ut i är för tidigt att uttala sig om.