Kæmpe sikkerhedsbommert: 222.939 danske teatergængere mål for cyberkriminelle
Har du været i det Kongelige Teater det seneste års tid og bestilt din billet over nettet?
Så er du med stor sandsynlighed en af de 222.939 teatergængere, hvis navn, adresse, telefonnummer og e-mailadresse de sidste otte måneder har ligget til fri afbenyttelse af e-mailspammere og andre it-kriminelle på en norsk hjemmeside.
Den gigantiske sikkerhedsbommert bekræftes af en norsk it-konsulent, som nu har fjernet adgangen til oplysningerne, efter at en dansk Version2-læser og koncert- og teatergænger har fortalt Version2 om problemet.
Læseren fik i sidste uge tilsendt en spam-mail på en e-mailadresse, som personen kun bruger ved køb af billetter til koncerter og teaterforestillinger over nettet.
Version2-læseren, der ønsker at være anonym, arbejder til daglig som Linux-systemadministrator for et større dansk it-firma.
Læseren undrede sig over at have modtaget spam på en e-mail-adresse, som han til lejligheden havde oprettet med navnet billetnet@personensdomæne.dk.
»Jeg opretter altid sådan en særskilt e-mailadresse til den slags formål, fordi jeg så kan fjerne den igen, hvis jeg skulle modtage spam på den. Det er måske et års tid siden, at jeg sidst har brugt e-mailadressen, og jeg har aldrig modtaget spam på den før nu,« forklarer læseren til Version2.
Ikke en fejl hos Billetnet
Læseren tror først, at årsagen skal findes hos danske online-billetfirma Billetnet. Det viser sig dog, at Billetnet intet har at gøre med sikkerhedsbrøleren.
I et forsøg på at finde ud af, hvorfor der er modtaget spam på adressen, indtaster læseren e-mailadressen i søgefeltet hos Google. Læseren sætter e-mailadressen i citationstegn for at få en eksakt søgning på adressen.
Ét eneste søgeresultat toner frem på skærmen: et link til en FTP-server hos en norsk hjemmeside, www.teaterbillett.no, der fungerer som en overordnet portal for teater- og operahjemmesider i Norge, Sverige og Danmark.
Læseren klikker sig ind på FTP-serveren via browseren og bliver præsenteret for en kæmpestor tekstfil, som indeholder navne, adresser, kundenumre og e-mailadresser på, hvad der umiddelbart forekommer ham at være tusindvis af danskere.
Altså en klar brist på datasikkerheden i forbindelse med håndtering af folks personfølsomme oplysninger og dermed et brud på persondataloven i Danmark.
En hurtig ændring i adressen til FTP-serveren bringer læseren et niveau opad i serverens filstruktur, som viser sig at indeholde en håndfuld andre tekstfiler ? herunder én, der udelukkende indeholder kundenumre og tilhørende telefonnumre.
»Det her FTP-site kan alle jo browse direkte, og jeg tænkte med det samme, at det ikke kan være lovligt,« siger kilden til Version2.
Ved at skrive et lille program har læseren optalt 222.939 unikke e-mailadresser i filerne.
Noget gik galt under migrering
Juridisk chef i Det Kongelige Teater, Anna-Katrine Olsen oplyser i en e-mail til Version2, at man nu undersøger sagen nærmere internt, men i øvrigt ikke har nogen kommentarer til sagen lige nu.
Faktum er dog, at Det Kongelige Teater i efteråret 2009 påbegyndte et skifte væk fra Billetnet og over på platformen Enta, som leveres af det globale firma Galathea STS.
Galathea STS leverer også platformen til www.teaterbillett.no, hvor læseren fandt de omtalte tekstfiler.
På forsiden af den norske teaterhjemmeside finder man imidlertid også navnet Erik Husemoen, som er den samme it-konsulent, der på vegne af Galathea STS flyttede hele Det Kongelige Teaters billetplatform væk fra Billetnet og over på Enta i efteråret 2009.
Efter Version2's henvendelse har Erik Husemoen nu fjernet den offentlige adgang til filerne. Det skete onsdag i denne uge.
Han bekræfter både antallet af kunder i filerne og den følsomme karakter af de oplysninger, filerne har indeholdt.
»Jeg vil først beklage, at filerne ikke er blevet beskyttet før. Forklaringen på det er ganske enkelt en personlig fejl fra min side,« skriver Erik Husemoen i en e-mail til Version2.
Han er ikke sikker på, præcis hvor længe filerne med kundeoplysninger har ligget ubeskyttede på FTP-serveren. Men han vurderer, at blotlægningen af filerne er sket 25. marts i år.
Praksis ikke overholdt
Erik Husemoen forklarer, at hjemmesidens FTP-område både indeholder ikke-følsomt indhold såsom fonte og logoer, men også indhold, som skal beskyttes med brugernavn og kodeord. Herunder de pågældende filer med kundeoplysninger.
Han holder løbende øje med, hvor meget Google ved om domænet og fortæller, at han ikke tidligere har set Google liste referencer til FTP-delen af domænet.
»Jeg antager derfor, at eksponeringen i Google er relativt ny, maksimalt to måneder gammel,« forklarer Erik Husemoen.
Han understreger igen, at der er sket noget, som absolut ikke måtte ske.
»Filerne er helt konkret blevet lagt ind i et forkert katalog på serveren. Praksis skulle have været, at indhold på den åbne del af FTP-området begrænses til usensible oplysninger. Det er derfor meget uheldigt, at denne praksis ikke er blevet fulgt, og at informationerne dermed er sluppet ud,« skriver Erik Husemoen.
Læserens identitet er redaktionen bekendt. Vedkommende har meldt sagen til Datatilsynet.
Kilden benyttede følgende shell-kommando til at optælle antallet af unikke kunder i de blotlagte filer:
$ find .|grep fil|xargs cut -d" " -f7-|sed 's/Null//g'|cut -d"'" -f12|sort -u|wc -l 222939
Forklaring:* Først findes alle filer, hvis filnavne matcher strengen 'fil'. Dernæst deles indholdet af filerne op i kolonner adskilt af mellemrum. Der kigges kun på kolonne syv og fremefter, hvor navn, adresse, e-mail osv. befinder sig. Alle forekomster af Null fjernes derefter, ligesom kolonne 12 hives ud. Til sidst sorteres filen, der fjernes unikke linjer og laves en word count på linjebasis. Resultatet er de 222.939 unikke linjer med navn, adresse, e-mail-adresse og kundenummer.*
Kommentarer (11)
Kilden benyttede følgende shell-kommando til at optælle antallet af unikke kunder i de blotlagte filer: $ find .|grep fil|xargs cut -d" " -f7-|sed 's/Null//g'|cut -d"'" -f12|sort -u|wc -l 222939
Jaaaa ... det er sgu derfor vi elsker Version2 og kommer tilbage igen og igen.
... vis mit et andet online medie, hvor ovenstående ikke ville være malplaceret :o)
Det bliver en god dag - jeg kan mærke det allerede!
-
0 -
0
Man kan omtrent få ødelagt sit liv (f.eks. kreditværdighed) pga. identitetstyveri.
Det må være på tide at indføre en juridisk konsekvens for massiv sløsen med andre menneskers personlige oplysninger.
-
0
-
0
Ja, jo. Istedet for den frygtelige sekvens af cut && sed ville jeg have brugt en enkel perl -ane.
Men valgfriheden er et stort plus ved UN*X.
-
0
-
0
... vis mit et andet online medie, hvor ovenstående ikke ville være malplaceret :o)
-
0
-
0
Hvis du kan foretage identitetstyveri med de oplysninger du giver for at købe en teaterbillet, så har vi store problemer.
Basalt set troede jeg ikke at hverken billetnet eller det kongelige teater havde brug for at gemme oplysninger i længere tid som ikke allerede stort set var offentligt tilgængeligt om mig såsom navn, adresse, telefonnummer, email-adresse, cpr-nummer, ølsmag og skostørelse.
-
0
-
0
Han holder løbende øje med, hvor meget Google ved om domænet og fortæller, at han ikke tidligere har set Google liste referencer til FTP-delen af domænet.
Kære Erik Husemoen
Du kan ikke regne med at folk ikke finder frem til dine servere, bare fordi du ikke har et link til dem på forsiden. F.eks. er begge dine DNS servere mere end villige til at udføre en fuld "zone transfer". Hvilket vil sige at alle der har lyst kan få en fin liste over potentielle mål:
Zone Transfer:
dns1.powertech.no Success!
teaterbillett.no. 86400 IN SOA dns1.powertech.no. hostmaster.powertech.no. (
2008090901 ; Serial
28800 ; Refresh
7200 ; Retry
604800 ; Expire
86400 ) ; Minimum TTL
teaterbillett.no. 86400 IN NS dns1.powertech.no.
teaterbillett.no. 86400 IN NS dns2.powertech.no.
teaterbillett.no. 86400 IN MX 10 teaterbillett.mx-gw1.powertech.no.
admin.teaterbillett.no. 86400 IN A 212.71.72.210
billettsystem.teaterbillett.no. 300 IN A 212.71.72.210
ctx01.teaterbillett.no. 86400 IN A 212.71.72.210
ctx02.teaterbillett.no. 86400 IN A 212.71.72.211
ctx03.teaterbillett.no. 86400 IN A 212.71.72.216
db01.teaterbillett.no. 86400 IN A 212.71.72.213
db02.teaterbillett.no. 86400 IN A 212.71.72.214
ftp.teaterbillett.no. 86400 IN A 212.71.72.212
mail.teaterbillett.no. 86400 IN A 212.71.72.212
pop.teaterbillett.no. 86400 IN CNAME mail1.newmedia.no.
rapporter.teaterbillett.no. 86400 IN A 212.71.72.212
smtp.teaterbillett.no. 86400 IN CNAME mailrelay.newmedia.no.
webmail.teaterbillett.no. 86400 IN CNAME unixweb2.newmedia.no.
www.teaterbillett.no. 86400 IN A 212.71.72.215
dns2.powertech.no Success!
teaterbillett.no. 86400 IN SOA dns1.powertech.no. hostmaster.powertech.no. (
2008090901 ; Serial
28800 ; Refresh
7200 ; Retry
604800 ; Expire
86400 ) ; Minimum TTL
teaterbillett.no. 86400 IN NS dns1.powertech.no.
teaterbillett.no. 86400 IN NS dns2.powertech.no.
teaterbillett.no. 86400 IN MX 10 teaterbillett.mx-gw1.powertech.no.
admin.teaterbillett.no. 86400 IN A 212.71.72.210
billettsystem.teaterbillett.no. 300 IN A 212.71.72.210
ctx01.teaterbillett.no. 86400 IN A 212.71.72.210
ctx02.teaterbillett.no. 86400 IN A 212.71.72.211
ctx03.teaterbillett.no. 86400 IN A 212.71.72.216
db01.teaterbillett.no. 86400 IN A 212.71.72.213
db02.teaterbillett.no. 86400 IN A 212.71.72.214
ftp.teaterbillett.no. 86400 IN A 212.71.72.212
mail.teaterbillett.no. 86400 IN A 212.71.72.212
pop.teaterbillett.no. 86400 IN CNAME mail1.newmedia.no.
rapporter.teaterbillett.no. 86400 IN A 212.71.72.212
smtp.teaterbillett.no. 86400 IN CNAME mailrelay.newmedia.no.
webmail.teaterbillett.no. 86400 IN CNAME unixweb2.newmedia.no.
www.teaterbillett.no. 86400 IN A 212.71.72.215
Med den liste i hånden kan man jo f.eks. checke om ftp serveren (ftp) er blevet sat rigtigt op eller om database serverne (db01, db02) skulle være sårbare. Der skulle også være et par timers sjov i af pille vid mail serverne (pop, smtp, webmail) selvom disse tilsyneladende bliver hostet af newmedia.no
Måske skulle du overveje at hyre nogle folk der ved noget om IT sikkerhed når nu du ligger inde med personoplysninger.
-
0
-
0
Et par potentielt interessante dokumenter:
ftp://ftp.teaterbillett.no/Public/dno/Invoice%20831%20DNO.pdf
ftp://ftp.teaterbillett.no/Public/dno/Invoice%20838%20DNO.pdf
Og gad vide om Erik har copyrighten på alt det musik som ligger frit tilgængeligt til download.
ftp://ftp.teaterbillett.no/Public/Erik/Eidsville/Demo%20raw%20mix/
-
0
-
0
Han er ikke sikker på, præcis hvor længe filerne med kundeoplysninger har ligget ubeskyttede på FTP-serveren. Men han vurderer, at blotlægningen af filerne er sket 25. marts i år.
Det er muligt at filerne kun har været tilgængelige siden marts men der er tilsyneladende tale om filer om dokumenter der er meget ældre. Se f.eks. denne faktura fra 2007 (fra googles cache):
http://docs.google.com/viewer?a=v&q=cache:z5w9qxRXuKMJ:ftp://ftp.teaterb...
Det vil sige at det ikke kun er kunder der har købt billetter i de sidste par måneder, der har haft deres personlige oplysninger liggende frit tilgængeligt.
-
0
-
0
Det virker som artikkelen her feilaktig fremstiller det som om jeg er nettverksekspert. Det er jeg altså ikke.
Min rolle her er som dba og programmerer.
I denne rollen har jeg anvendt et ftp område på en uheldig måte! Altså en menneskelig feil, gjort av en person uten inngående kunskap om nettverk og sikkerhet.
Ettersom det er min laden som er årsaken til balubaen her, så har jeg det helt fint med å være ærlig og åpen på det.
Når det gjelder å holde øye med hva slags innhold Google finner på et domene, så trenger man ikke være nettverksekspert for å teste det. Men det vet du jo! Denne kommentaren innebærer kun at jeg ville oppdaget disse filene på et tidligere tidspunkt dersom de ved min siste sjekk hadde vært synlige i Google.
Deretter så viser du til litt innhold som du syns er interessant. Noen layouts/test utskrifter på hvordan en faktura vil se ut om man skriver den ut i systemet, og noen demo-opptak!
Fint!
Det finnes også en Citrix klient, et program for å konvertere fonter til soft fonts, noen logoer, etc, etc. Noen syns sikkert det er sjov å se på, men jeg trodde saken her handlet om hvordan sensibel info blir behandlet.
Jeg har nå skrudd av tjenesten, så beklager ikke mere sjov!
Det er bra Versjon2 setter lys på datasikkerhet. Denne saken viser jo at feil kan skje, om enn utilsiktet!
Med vennlig hilsen
Erik Husemoen
-
0
-
0
Det er rigtig flot af Erik Husemoen at kommentere artiklen!
Alle begår fejl - sådan er det og sådan vil det altid være. Derfor bør man, fx ved omgang med sådanne data, tage forholdsregler der gør, at én fejl ikke fører til en utilsigtet hændelse.
Fx bør følsomme oplysninger altid krypteres når de overføres over usikre protokoller såsom FTP. Det Kongelige Teater burde have stillet krav om dette, eller at et lignende sæt sikkerheds-procedure blev overholdt. Når de ikke stiller krav får de det ikke og så har de lige så meget ansvar som andre parter i sagen.
-
0
-
0
Først, takk for din kommentar.
Jeg vil for ordens skyld påpeke at filene ikke er lastet opp via ftp. Filen sendes til server med 128 bits kryptering/SSL. Jeg er således trygg på at selve filopplastingen er godt sikret og at rutinene/praksiss for å laste opp filer er god.
Problemstillingen er at deler av fil-området på server har en share til et public ftp området. Det er således i den internte håndtering på server dette har skjedd. Disse filene skulle aldri blitt lagt inn i dette filområdet.
-
0
-
0
Tilføj kommentar
