Konkurrencesite lækkede deltageres persondata
Hundredvis - og formentlig i tusindvis - af navne, e-mailadresser og telefonnumre har indtil for nylig ligget frit tilgængelige på hjemmesiden vindetfly.dk, der tilhører flyselskabet Norwegian.
Hvis man som bruger klikkede sig rundt blandt andre brugeres ?lodder? i konkurrencen, kunne man uden større besvær hente navne, e-mailadresser og i visse tilfælde telefonnumre ud af de data, der overføres mellem Flash og sitets webserver.
Version2 er i besiddelse af logfiler, der dokumenter, at de nævnte data er blevet sendt til alle brugere, som har bladret sig igennem andre brugeres bidrag til konkurrence.
Konkurrencen gik ud på, at man som 'kaptajn' skulle fylde sit fly op med 40 venner og argumentere for, hvorfor man fortjente at vinde en tur med vennerne.
Så hver gang en bruger har bladret forbi et fyldt fly, har man fået tilsendt 41 e-mail-adresser på andre brugere. Der blev i alt oprettet 11184 fly, hvoraf kun 163 der blev fuldt booket, men det har alligevel være en hel del e-mail-adresser, som har været "offentligt tilgængeligt".
Det er it-ingeniør Rasmus Nielsen, der har gjort Version2 opmærksom på problemet, selvom han dybest set helst havde været sagen foruden.
»Jeg er ked af at skulle hænge Norwegian ud på den måde, for det var sådan set en fin konkurrence. Men det dur bare ikke, at store firmaer klokker sådan i det,« siger Rasmus Nielsen til Version2.
»Det er en meget uheldig sag for dem. Selvom de formentlig ikke har gjort det bevidst, har de i hvert fald ikke tænkt sig ordentligt om. Folk med de forkerte hensigter kan let misbruge den slags informationer,« fortsætter han.
Hos Norwegian er fungerende landechef Julius Støback overrasket over oplysningerne.
»Jeg vil ikke kommentere dette, før jeg har diskuteret sagen med vores leverandør, hvilket jeg straks vil gøre,« siger han til Version2.
Han anser endvidere problemstillingen som hypotetisk, da sitet er lukket nu, efter at konkurrencens vinder er fundet.
»Vi har ingen indikationer på, at nogen uretmæssigt har opsnappet data,« tilføjer Julius Støback.
Version2 følger op på sagen, når Norwegian har undersøgt hændelsesforløbet nøjere.
Kommentarer (1)
"»Vi har ingen indikationer på, at nogen uretmæssigt har opsnappet data,« tilføjer Julius Støback."
Det kunne ellers være meget smart hvis webservere automatisk skrev "Telefonnummer: xxxxxxx er blevet opsnappet".
Den kunne passende samtidig lære at skrive:
"Sitet er blevet hacket via. et sikkerhedshul i xx.php linje 23" hvis der skulle komme en hacker forbi serveren.
-
0 -
0
Tilføj kommentar
