Utvecklaren Erik Pettersson, som jobbar med en liknande app, gick under torsdagen ut med att han upptäckt säkerhetshålet. Via det kunde man få ut data om dem som använder SJs Iphone- och Androidappar.
Utomstående kunde ta reda på vilken telefon som användes för att planera vilka resor.
Enligt Erik Pettersson kunde man få ut id-nummer på de olika användarna, ett så kallat udid-nummer. Dessa nummer är unika för varje telefon, och gör det möjligt att veta vilken telefon som gjort vilka förfrågningar.
– Med den här informationen kan man skapa, ändra, och ta bort bevakningar för alla andra användare. Det är ett mycket osäkert sätt att hantera data, säger Erik Pettersson.
Själva appen läcker inte informationen. Det gör däremot api-servrarna som den kommunicerar med.
– Gör man förfrågningar till api-servern kan man ta reda på alla som bevakar tågtider, säger Erik Pettersson till Computer Sweden.
För att göra förfrågningarna krävdes ingen autentisering. Däremot gick det inte direkt att se vilken riktig person som låg bakom sökningarna, utan att veta vilken telefon som hörde till id-numret. Eftersom det skickas okrypterat, kan det dock plockas upp av någon som använder samma okrypterade trådlösa nätverk, till exempel SJs eget ombord på tågen.
Erik Pettersson berättar att Apple och Google inte tillåter att man lämnar ut dessa id-nummer, och säger att han är förvånad att Apple har släppt igenom en sådan här app.
När Computer Sweden under torsdagen pratade med Tobias Johansson, SJs projektledare för appen, kunde han inte bekräfta uppgifterna om informationsläckorna i appen.
På fredagsmorgonen var dock felet bekräftat och SJ började arbetet med att åtgärda säkerhetshålen.
– Vi har gjort en ny version för servern, och lagt en ny app på kö hos Apple. Servern är uppdaterad, men den uppdaterade klienten måste bli godkänd av Apple, säger Tobias Johansson till Computer Sweden.
Han berättar att SJ fått garantier från sin leverantör att användarens id-nummer inte skulle synas i appen, men att det bevisligen gjorde det ändå.
Han understryker dock att det inte är möjligt att göra mycket mer än att ändra bevakningar med id-numret, men att det naturligtvis inte är snyggt att det synts.
Tobias Johansson menar också att de uppgifter som cirkulerat om hur många användare appen har är felaktiga.
– Det är långt från de 2 000 som det har skrivits i andra medier. Vi kan inte ge något exakt nummer, men det är snarare 200, säger han.
