Förbundets hantering av golf-ID

Jag har en längre tid haft problem med att jag inte fått mail när jag bokat tid eller anmält mig till tävling.

Bytt adress fram och tillbaka, kollat alla skräpmappar, etc.

Av en händelse fick jag ett vidarebefordrat mail där det fanns en länk till Inställningar för bekräftelsemejl med en länk till “prenumerationscentret”.

Jag klickade på länken och kom till vederbörandes prenumerationscenter, alltså inte för min egen hantering av mail utan personen som mailat mig. Det är ju illa nog. Än värre är att länken avslutas med golf-ID i klartext. Vilket betyder att jag enkelt kunde ändra till mitt eget golf-ID och se att jag mycket riktigt inte skulle få några mail (vilket jag inte minns att jag själv ändrat).

Det betyder två saker. Dels att förbundet skickar ut grejer där golf-ID kan tas ut i klartext om mail kommer på villovägar. Och dels att man utan vidare kan gå in och ändra mailpreferenser för vem som helst (antingen på måfå med chansade golf-ID eller specifikt om man känner till folks golf-ID).

Bra eller (mer sannolikt) anus?

Anus… men det verkar vara personen som skickat. som failat, och inte hela förbundet?

Egon

Att mail kommer på villovägar lär dock inte vara något ovanligt. Har du aldrig skickat vidare ett mail till någon med en fråga?

Jodå, och jag har fått mail från organisationer med flera a4 av adresser som tydligt inte skulle vara med.

Det jag menade är att om en random dansk failar är det kanske inte hela EU’s fel.

Egon

Random dansk?

Du fattar på allvar inte vad det handlar om?

SGF har alltså ett system där man kan ändra mailinställningar för vem som helst - utan inloggning. Samt att man i mail skickar runt golf-ID öppet.

Att folk skickar mail hit och dit på slarv bör systemet kunna hantera.

Fast här är det ju bara att byta ut ditt golfID i länken
https://app.datatalks.se/preference-center/12?golfid=XXXXXX-XXX
till någon annans så kan du fippla med den personens mailinställningar.
Så var det nog inte tänkt.

Länken finns längst ner på sidan “Sekretess och NIX” när du är inloggad i Min Golf.

Har mailat GIT-supporten och frågat varför detta säkerhetshål finns.

Du skrev väl att du fick länken från någon? Den skulle du inte fått. Att den går rakt in i systemet är ju, i sig, inte så konstigt. Som admin måste man ju kunna ändra saker.

Egon

För den som inte kan läsa innantill. Jag fick ett mail (ett vanligt bekräftelsemail som du och alla andra får). Vederbörande ställde en fråga genom att vidarebefordra mailet.

Sen kör nån random smålänning en klassisk motvallskäring, men det får man ta.

Exakt min fråga.

Det här var ju riktigt tokigt! Jag var tvungen att testa länken i mitt senaste bekräftelsemail.

Visserligen kommer man inte in i det “allra heligaste” men visst borde detta renderat i en: “Du är inte inloggad, vänligen logga in…” innan man kan ändra detta på sina inställningar. Eller på sin frus. Eller någons man inte alls känner…

Korrekt. Men “random smålänning” tycker inte att det är hela världen. Man får kanske trycka in någon greenfeemedlem för att det ska ta fart.

Är det ens någon idé att skicka mail till “GIT-ansvariga” (vilken adress de nu har)? Förr skickade jag lite förslag på förbättringar men fick oftast ett “Intressant idé som vi tittar på till kommande relaeser…” (typ).

Jag vill tex ha ett “negativt” tävlingsfilter: Uteslut alla damtävlingar (jag är inte kvinna). Uteslut alla juniortävlingar (jag är närmare döden än födseln), osv. Dessa inställningar skulle alltid gälla som default för mig när jag söker…

Kan vara helt ute och cykla nu, men har du ett inlogg i GIT som ger dig lite mer befogenheter?

Kan det isåfall påverka?

Om jag missförstått helt så ignorera frågan

Jag har det definitivt inte! Jag kommer in där Puttaren skriver.

Jag har mer behörighet.

Men det har inget med detta att göra.

Se själv på länken (tog bort en punkt före se för att länken ska synas):
https://app.datatalks. se/preference-center/12?golfid=XXXXXX-XXX

I den länken kan du lägga in vilket golf.id du vill och ha access rakt in i systemets epostinställningar.
Det känns knappast bra, även om det kanske inte är “kritiska” uppgifter.

Om jag gick in och ändrade saker till en journalist på Aftonbladet skulle det nog slås upp…

Omdömet blir: Fullständigt renomruttet uselt.

Jag har kontaktat förbundet. Inget svar än mer än att “vi har skickat det till vederbörande”.

Har de låtit en noob hacka ihop något tramsigt system (istf att använda ett befintligt användar-DB-system)?
Kräva login verkar ju helt självklart. Dessutom skall man naturligvis inte skicka user-id i klartext. En anonymiserad id med envägshash låter mer rimligt. Eller varför inte en engångslänk?