Berlingske lækkede også passwords i logfil

Der var brugernavne og passwords på brugere til tjenesten Spilop.dk i de logfiler, som ved et uheld landede på Berlingske.dk og Google. Brugerne er alle fra Berlingske-koncernen eller samarbejdspartnere.

Det var ikke bare oplysninger om abonnenter på Berlingske Nyhedsmagasins mailingliste, som endte i Googles cache.

En række logfiler på adressen Berlingske-mail.dk indeholdt desuden, hvad der i høj grad ligner login og password til spilsitet Spilop.dk, som ejes af Berlingske.

Login-oplysningerne ligger ikke i klartekst, men det er en triviel opgave at få brugernavn og password ud af den slørede tekst.

Version2 har vist uddrag af logfilen til Peter Kruse fra sikkerhedsfirmaet CSIS. Han mener også, at det drejer sig om brugernavn og passwords.

Samtlige brugere har email-adresser, der hører til Berlingske-koncernen eller partnere som f.eks. den tekniske leverandør Adnuvo.

»Det er noget skidt,« siger Peter Kruse, efter at have set uddrag af logfilen.

»Den sløring af login-oplysningerne, der er anvendt, er slet ikke tilstrækkelig. Det er også i modstrid med "best practice" på området at putte brugernavn og password i logfiler. Hvis man er tvunget til at skrive sådanne oplysinger i en logfil, skal de i hvert fald sløres med en kryptografisk metode,« siger Peter Kruse.

Opslagene i logfilen ser således ud:

[Thu Oct 9 16:57:06 CEST 2008] [./spigo.php] SPILOP13;;1;1985-02-12T12:00:00;1;http://www.spilop.dk/guests/frontpage.aspx?login=;;1

Version2 har kontaktet personer fra den tekniske leverandør Adnuvo, som optræder i logfilen. Adnuvos direktør, Mads Wilson, ønsker ikke at udtale sig, men henviser til Berlingske.

Version2 har også kontaktet personer fra spilsitet Spigo.dk, som også optræder i logfilen. De ønsker heller ikke at udtale sig til Version2, men vil kontakte Berlingske.

Version2 har forgæves forsøgt at kontakte Berlingske for at få en kommentar.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere