Pinligt: Topdanmarks regnskab blev URL-hacket af Reuters
Da Topdanmark i maj skulle offentliggøre kvartalsregnskab, kunne forsikringsselskabet læse bidder af regnskabet hos Reuters, få minutter før den officielle udmelding. Reuters havde nemlig URL-hacket Topdanmark og fået fingrene i regnskabet.
Regnskaber i børsnoterede virksomheder må under ingen omstændigheder komme ud, inden det kommer ud officielt gennem fondsbørsen, fordi ingen skal have mulighed for insiderhandel. Derfor bliver oplysningerne normalt beskyttet meget omhyggeligt.
Men hos Topdanmark kunne journalisterne tilsyneladende få adgang til regnskabet før tid ved at skrive den rette URL. Om det var manglende sikkerhed hos Topdanmark eller kriminel hacker-aktivitet hos nyhedsbureauet Reuters, er ikke afklaret, for Topdanmark ønsker ikke at uddybe, hvor godt dataene var beskyttet.
»Vi vil ikke komme nærmere ind på, hvilke forholdsregler vi har taget før, og hvilke vi tager fremover. De oplysninger vil hackere også gerne have,« siger informationschef Jens Langergaard fra Topdanmark.
Han forklarer, at filen med de mange forskellige regnskabstal blev lagt ud på serveren klokken 11.43, klar til udpakning og offentliggørelse til klokken 12.
»Det er store mængder data, så det er nødvendigt, at det ligger indpakket og ikke-tilgængeligt på serveren lidt tid forinden,« siger Jens Langergaard.
Klokken 11.44 har en computer med en Reuters IP-adresse haft adgang til filerne, og kort efter begynder nyhederne om regnskabet at strømme ud i korte telegrammer. Klokken 12.01 offentliggør Topdanmark selv tallene, som planlagt.
Om filerne var beskyttet af for eksempel password eller lå frit tilgængeligt for alle med den rette webadresse, vil han ikke kommentere. Men der var ikke andre computere, som forsøgte at få adgang til filerne, fortæller han.
Derudover henviser informationschefen til en advarsel fra Nasdaq-børsen, som Topdanmark er noteret på.
»Fondsbørsen har sendt en advarsel ud om, at URL-hacking bliver brugt systematisk mod virksomheder, der skal til at offentlige regnskaber,« siger han.
At regnskabstallene slap ud før tid, har ført til en påtale fra Nasdaq. Så for at undgå en gentagelse af miseren har forsikringsselskabet fået en ekstern gennemgang af procedurerne, og skal nu i gang med de anbefalinger, der fulgte. Når procedurerne er strammet, følger endnu en undersøgelse.
Version2 har kontaktet Reuters, men nyhedsbureauet ønsker af juridiske årsager ikke at udtale sig om sagen. Reuters afviser dog at have gjort noget ulovligt.
Kommentarer (10)
Det er jo slet ikke ualmindeligt at diverse CMS systemer fremskriver artikler der skal publiceres, i numerisk rækkefølge. Det gør det mere end let at gætte, man skal bare kunne tælle.
Flere CMS'er har en option hvor en artikel skal sættes som aktiv før den publiceres på websiden, men artiklen kan dog fortsat læses hvis man er bare en smule snu f.eks.:
Sidste artikel:
[url]/index.php?ID=1311
Næste artikel:
[url]/index.php?ID=1312
osv. - og det uanset om indholdet er gjort aktivt eller ej.
Venligst
Peter
-
0 -
0
Ah det er måske lidt overdrevet at kalde det "URL-hacking". Alt der ligges på nettet og har en URI er i alle praktiske hensyn publiceret jvf. rfc2616.
At ingen kender adressen endnu er vel irrelevant og blot en funktion af tid. Hvordan kan det være hacking at skrive en URL ind i en browser 1 dag før en anden?
Er der en authoriseret session indvolveret er det straks en anden sag, men det lyder ikke til at være tilfældet.
-
0
-
0
Til orientering er URL'en for regnskabet - som det ligger på nettet nu:
http://www.topdanmark.dk/ir/index.php?ID=1658
Men jeg ved ikke, om samme adresser gjaldt før officiel offentliggørelse.
vh.
Jesper
Version2
-
0
-
0
En anden mulighed er selvfølgelig at de bare har gættet sig til hvor Excel arket blevet publiceret:
http://www.topdanmark.dk/download?file=regnskab/2010/1kvt_int_regnskab_d...
Giv et vild gæt på URL til næste regnskab? :-)
/Peter
-
0
-
0
osv. - og det uanset om indholdet er gjort aktivt eller ej.
Et CMS der giver mulighed for dette er forhåbentligt ikke skrevet i dette årtusinde.
-
0
-
0
Eller også har man ikke instrueret redaktøren på det pågældende CMS ordentligt om funktioner og muligheder?
-
0
-
0
En del CMS har mulighed for at publicere på bestemte tidspunkter ...
Så ja, det er nemt at gætte mange URL'er - gjorde det selv med JUNOS 10.2 til Branch Series, som ikke er tilgængelig via links på siden, men nemt kan gættes
Derfor, lær teknologien at kende, tænk som en hacker - prøv jer frem, og gerne lidt før andre forsøger :-)
-
0
-
0
Security by Obscurity er ikke sikkerhed! http://en.wikipedia.org/wiki/Security_through_obscurity
At gemme en URI og så håbe at der ikke er nogen der finder den er meget naivt - før eller siden er der nogen der finder det.
Her var det så før.
Hvor svært er det egentligt at bede sin sysadmin om at lave et cron job for sin webmaster?
Iøvrigt kan URI gætteri da aldrig være en "kriminel hacker aktivitet", hvis webserveren returnerer et regnskab, sådan bare uden videre.
/Lars
P.S. Nogle af af os kalder folk der bryder ind i andre folks computere for en Cracker: http://da.wikipedia.org/wiki/Cracker
-
0
-
0
Hvor svært er det egentligt at bede sin sysadmin om at lave et cron job for sin webmaster?
Eller i det mindste sætte sin .htaccess til at afvise al adgang indtil det skal offentliggøres... Der er masser af muligheden, og Topdanmark valgte åbenbart "none of the above"!
-
0
-
0
Tilføj kommentar
