6683 emailadresser lækket på vindetfly.dk
Det var en fejl i databasestrukturen, der gjorde det muligt for deltagerne i konkurrencen på vindetfly.dk at se hinandens navne, e-mailadresser og i visse tilfælde også telefonnumre. Det forklarer fungerende landechef for flyselskabet Norwegian.com Julius Støback i en mail til Version2.
»Data om de deltagende i konkurrencen har ikke været synlige på sitet og er heller ikke blevet sendt til andre deltagere,« understreger Julius Støback i sin mail.
Han betoner også, at det kræver specialviden og særlig software for at kunne hente informationerne.
Til gengæld erkender han, at at en fejl i databasestrukturen bag sitet har medført, at personfølsomme data er blevet sendt mellem serveren og flash-sitet. Dette gør sig gældende for de 163 ud af i alt 11184 oprettede 'fly', som var fuldt 'booket.'
Og da hvert fuldt booket fly består af en kaptajn og 40 passagerer, giver lidt hurtig talgymnastik, at oplysninger om 6683 personer har været tilgængelige.
»Det er ikke hvem som helst, som har kunnet tilegne sig denne information. Men selv om ingen brugere, der ikke bevidst har været på jagt efter disse informationer, har fået dem, er det alligevel en alvorlig fejl, som vi på det kraftigste beklager. Det er naturligvis vores ansvar, at den slags ikke sker igen, og vi vil nu stramme procedurerne for opfølgning på vore underleverandører,« skriver Julius Støback videre i sin mail.
Endelig fremhæver han, at sitet ikke længere er aktivt, og at ingen med onde hensigter længere kan hente personfølsomme oplysninger på vindetfly.dk.
Kommentarer (7)
"Det er ikke hvem som helst, som har kunnet tilegne sig denne information. Men selv om ingen brugere, der ikke bevidst har været på jagt efter disse informationer, har fået dem"
Det er heller ikke hvem som helst der kan udnytte et XSS hul, kun folk der bevidst går efter det. Men det er vel også folk der "er har været på jagt efter disse informationer", der netop kan finde på at udnytte dem?
-
0 -
0
Nu er det jo kun folk der har udset sig vindetfly.dk som deres "target", som nogensinde vil se den bug..
Hvis man skal græde over spildte info på danskere, burde man kigge på de 10-100 danske sites, som tilsammen har (sidst jeg kiggede) 52122 danskeres fornavn:efternavn:adresse:telefonnummer:mail:password liggende i deres ubeskyttede databaser.
At jagte et enkelt site for at være usikker, Det er da useriøst.
At DK-cert ikke er dem der kommer med sådanne oplysninger, viser vel lidt at vi har brug for et stærkt team, som ikke kun vidre giver de info som de får fra internationale sites, men som fysisk tester Danskerne's sikkerhed på nettet.
Hilsen
Jacob
-
0
-
0
Det kan nesten virke som noen (andre flyselskaper?) med vitende og vilje "planter" denne saken for å diskreditere Norwegian.
Hvem gidder å hacke en kampanjesite for å skaffe navn og epostadresser til noen tusen personer ( med myyye arbeid siden man får max 40 stykker per kall ).
Hvor mye mer sensitivt er dette enn en telefonkatalog???
Vet ikke hva dere kaller dette i Danmark, i Norge kaller vi det for agurknyhet :)
Minner forøvrig mistenkelig om hvordan svensk iskrem ble skvisa ut fra Norge for noen år siden. Da brukte norske iskremprodusenter alle dirty triks som finnes i boka for å diskreditere svenskene.
Gad vite om den samme nidkjærhet legges i å gå "danske" kampanjesiter etter i sømmene.
-
0
-
0
Jeg tror ikke på at nogen, sådan "helt tilfældig", falder over den bug.. Den er opsøgt.. Det vil jeg give dig ret i..
Vi har en ren konspiration teori her..:)
Anyway, jeg kunne skaffe bedre info via DGS eller Krak..
Hvori er det "Buksene-Rystene" i den her Nyhed? Hvem har postet den?
Jacob
-
0
-
0
For det første vælger man jo selv om man vil stå i en telefonbog. Meget stor forskel.
Brud på datasikkerhed er bestemt ikke agurkenyheder, men noget det skal tages alvorligt.
Jeg tror ikke nødvendigvis at nogen har gjort det for at sætte Norwegian i miskredit. Jeg mindes da selv at have opdaget et hul i en javaapplet på politiken.dk som havde mysql brugernavn/password, der nemt kunne decompiles fra bytecode. Hvorfor jeg lige fandt på dette var et rent tilfælde.
-
0
-
0
Selvfølgelig er det ikke en bug man lige falder over..:)
Og man får ikke antalet af kolummer fra en database ved et uheld.
Og hvem skulle have have interesse i at den slags low-noise info kom til de etableret news?
Hvis jeg fandt den bug ville jeg heller ikke poste den som DK's sikkerhed er breaket.
klem
Jacob
-
0
-
0
Jeg er ikke sikker på hvordan i tror hackere osv. arbejder, men jeg vil vove at påstå at det er VIRKELIG sjældent at der kommer nogen og fortæller åbent om deres egne sikkerhedshuller.
Jeg forstår ikke hvordan i kan synes dårlig IT-sikkerhed er ok, bare fordi man ikke skilter med det.
Er det ok at folk går ind og tømmer jeres hus, hvis de bare selv sørger for at finde ud af at din dør ikke er låst?
-
0
-
0
Tilføj kommentar
