Post Danmarks hjemmeside pivåben for SQL-injektion

Der har været fri adgang til databaserne under Postdanmark.dk med en SQL-injektion. Ingen følsomme data var dog blottet, siger Post Danmark.

Med en simpel SQL-injektion var der i månedsvis nem adgang til databaserne, der ligger under Post Danmarks primære webside Postdanmark.dk. Det beklager Post Danmark, der efter Version2’s henvendelse nu har fået lukket hullet.

»Det er ikke hensigtsmæssigt, og vi har sat alting i værk for at rette fejlen hurtigst muligt. Men vi må også erkende, at vi lever i en foranderlig verden, hvor der kan ske fejl,« siger Vibe Valentin Jensen, chef for informationssikkerhed i Post Danmarks it-organisation, til Version2.

En intern analyse af hullet på websiden viste, at det kun var data, der i forvejen bliver offentliggjort på siden, som en hacker kunne få adgang til. For eksempel hvor landets postkasser er placeret. Men det undskylder ikke fejlen hos Post Danmark, lyder selverkendelsen.

»Det var ikke kundedata eller personfølsomme data, der var adgang til. Men derfor skal man stadig ikke kunne hente dem på andre måder, end vi ønsker,« siger Vibe Valentin Jensen.

Hvorfor Post Danmark ikke havde styr på ordentlig inputvalidering og derfor blev ramt af den klassiske fejl, har hun ingen konkret forklaring på.

»SQL-injektion er en gammel sårbarhed, som blev introduceret i vores miljø af uransagelige årsager,« siger sikkerhedschefen.

Mere præcist skete fejlen hos Logica, som Post Danmark har outsourcet en stor del af it-arbejdet til. Men Vibe Valentin Jensen vil ikke give Logica nogen del af skylden.

»Det er kun vores ansvar. Vi får, hvad vi betaler for,« siger hun.

Post Danmark får i øvrigt flere gange om året et eksternt firma til at tjekke sikkerheden med en penetrationstest, forklarer hun. Hvor længe der har været åbent for en SQL-injektion på Postdanmark.dk er ikke kendt, men det er minimum en måned.

Bør ikke forekomme

Hos sikkerhedsfirmaet CSIS er konsulent Peter Kruse ikke imponeret over Post Danmark webudvikling.

»Det bør ikke forekomme, for det er en typisk sårbarhed, som er nem at sikre sig imod,« siger han til Version2.

Og netop i år bør alle, der arbejder professionelt med webudvikling, have hørt om SQL-injektioner.

»Det er en problemstilling, som er blevet kraftigt belyst hen over 2011, efter det blev brugt til indbrud hos Sony og mange andre. Så hvis man ikke allerede har paraderne oppe, vil jeg kraftigt anbefale, at man får dem op,« siger Peter Kruse.

Post Danmark har tidligere haft huller i it-forsvarsværkerne. I over tre år var det således uhyre nemt at tilgå data om andres pakker i løsningen Webpack, afslørede Version2 i juni. Dengang kendte Post Danmark oven i købet til hullet - uden at have gjort noget ved det. Hvordan dette hænger sammen med Vibe Valentin Jensens udsagn om hyppige, eksterne penetrationstest, melder historien ikke noget om.

**

Læs også: Posten har kendt sikkerhedshul i 3 år: Fri adgang til data om 6,3 millioner pakker

**

**

Læs også: Post Danmark vil ikke underrette hacking-truede pakkekunder

**

Kommentarer (2)

David Askirk Fotel

Hvis nu der alligevel er blevet blottet mere personfølsomme informationer, får de berørte personer det så at vide?

Et er hvad de siger, noget andet er hvad der så rent faktisk er blevet lækket, og noget trejde er hvad de har opdaget er blevet lækket.

Leif Neland

På et tidspunkt fik jeg fra postdanmark en csv-fil med adresser og åbningstider for posthuse og døgnpost'er. Den læste jeg jævnligt ind i webshoppen, så vores kunder kunne vælge det nærmeste posthus eller døgnpost at få leveret pakken til.
Så blev det til en XML-fil, og jeg måtte ændre i programmereringen.
Nu bliver den XML-fil ikke opdateret, men jeg kan få tilsendt en excelfil på mail. Den venlige postdame bliver sikkert træt af mig, hvis jeg lader webshoppen sende en emailforespørgsel om en ny udgave hver 14. dag...

Sørg dog at have et veldefineret API til at udveksle den slags data, der giver ekstra værdi for firmaets kunder.

Vi sender pakker til døgnboksen, men en ubehagelig høj procentdel af kunderne kan ikke finde ud af at man skal registrere sit IDnr for at kunne benytte dægnboksen, og skriver bare enten et tilfældigt nr, eller deres mobilnr, som post.dk ikke har registreret. Derfor kommer pakken retur. Her ville et API, hvor man kunne få at vide, hvem der har døgnboks-ID xxx være meget belejligt. Man kan få oplysningerne hvis man ringer. Men jeg kunne jo bare lade systemet sende en email til post.dk ved hver døgnboksforsendelse. Eller endnu bedre, lave et automatisk telefonopkald, der læser idnr og vores kundes navn op. "Tast 1, hvis døgnboks 12345678 tilhører John Doe, tast 2 hvis ikke, tast 3 for at få gentaget forespørgslen"

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Netværksteknologi - WAN

Hvornår: 2015-10-20 Hvor: Storkøbenhavn Pris: kr. 9200.00

MCP 10977 kursus: Updating Your SQL Server Skills to Microsoft SQL Server 2014

Hvornår: 2015-10-26 Hvor: Storkøbenhavn Pris: kr. 18750.00

Word course Basic (conducted in English)

Hvornår: 2015-09-23 Hvor: Storkøbenhavn Pris: kr. 5100.00

MCP 55007 kursus: System Center 2012 Orchestrator

Hvornår: 2015-10-26 Hvor: Storkøbenhavn Pris: kr. 11250.00

Projektarbejde og projektstyring

Hvornår: 2015-09-07 Hvor: Storkøbenhavn Pris: kr. 11400.00