Britisk efterretningsvæsen begår password-begynderfejl

27. marts 2013 kl. 15:0210
Ansøgere til spion-jobs hos britiske GCHQ bliver mødt med ringe password-sikkerhed. Glemte man sit password, blev det tilsendt i klartekst via e-mail.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er ikke første gang - og heller ikke sidste gang - den fejl bliver begået: Et password sendt i klartekst i en ukrypteret e-mail.

Men at den sker hos den nationale efterretningstjeneste i Storbritannien, er mere overraskende.

Alle, som søger job hos GCHQ, skal oprette sig som bruger på en hjemmeside, og det var her, at den klassiske begynderfejl blev afsløret. Det skriver The Register.

En ansøger opdagede problemet for flere måneder siden, da han havde glemt sit password. Men i stedet for at nulstille passwordet, som er god praksis i dag, fik han altså sit gamle password tilsendt. Det afslørede samtidigt, at GCHQ opbevarer alle passwords på en måde, så de kan genskabes i klartekst, i stedet for at bruge sikkert krypterede hash-værdier af passwordet, som ikke kan tilbageføres.

Artiklen fortsætter efter annoncen

Efterretningstjenesten har svaret, at det er et gammelt system, som er ved at blive skiftet. Og at antallet af ansøgere, som efterfølgende har glemt deres password og har fået tilsendt det igen, er meget lavt.

Men det formilder ikke den ansøger, som opdagede problemet, der altså stadig ikke er løst.

Netop til denne slags jobs skal en ansøger indtaste en lang række personlige oplysninger til GCHQ’s baggrundstjek, så læk af data er så meget mere kritisk for de ramte, forklarer han til The Register.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
31. marts 2013 kl. 17:18

"Jamen der er ikke sket noget skidt endnu".

Jeg har oplevet at få et automatisk generere password, der bestod af et ord og et tal. Kunne ikke skiftes. Typisk bliver man mødt med trætte og afvisende svar, hvis man vover at udtale sig om manglende sikkerhed.

Som regel ser man nok brugeren som den uvidende og udvikleren som den kloge, men sådan er det bare ikke altid.

7
30. marts 2013 kl. 12:21

Jeg opdagede ligeledes fejlen hos dandomain. Da jeg kontaktede dem omkring problemet (og et andet problem der gør det relativt let at lave session hijacking på siden), sagde de blot at de ikke mente at det kunne betale sig at gøre noget ved det - ifølge det svar jeg fik gør de så meget ud af sikkerheden, at det jo ikke er noget problem at passwords ikke gemmes forsvarligt.

Som en sjov sidenote, så kan man faktisk se sit password direkte på deres hjemmeside når man er logget ind - en super dårlig kombination sammen med det session hijacking problem der også er.

Det er ærgerligt, at der er så mange der har problemer med at bygge bare den mindste smule sikkerhed ind i deres applikationer.

10
1. april 2013 kl. 12:20

Jamen så lad mig også komme med en historie. Et af de billige teleselskaber, som jeg blev kunde hos for nogen tid siden, havde en meget underlig hjemmeside hvor man kunne taste et langt password, men de gemte kun de første 12 tegn -- i klartekst, og telefonsupport var villig til at oplyse det! Det var sådan at jeg kunne finde længden: "Hvad er det sidste bogstav i mit password?" "Det er et p." "Godt, så mangler de sidste (12+n)."

Jeg kontaktede efterfølgende deres support per email med en lang email med adskillige separate klagepunkter, og jeg fik et meget positivt svar tilbage (fra England, nå) og de havde rettet alle fejlene (så vidt de havde oplyst, og jeg udefra kan verificere) inden for ret kort tid, et par uger tror jeg det var.

Inkompetens er ikke nogen undskyldning, men ugidelighed er noget helt andet.

6
29. marts 2013 kl. 10:40

masser af firmaer og organisationer der gladeligt vil sende dig dit password i klartekst. For at nævne et par fra den sidste måned: AAB, Movia(commutenet). Førstnævnte vil nu endda have mit CPR-nummer, sikkert over en ukrypteret forbindelse, så den kan "servicere mig bedre". Yikes!

5
28. marts 2013 kl. 20:58

Og ja, jeg har haft kontaktet dem omkring dette problem, men de føler ikke at det er noget de vil bruge tid på. Har haft ringet til dem en enkelt gang, samt skrevet til dem. Begge gange samme svar. "Vi ser ikke dette som et sikkerhedsproblem"....

1
27. marts 2013 kl. 16:51

Opdagede lige i går da jeg skulle recover mit password, at de ikke nudstillede men sendte mit gamle tilbage, hvilket må betyde at

a. de står i klar tekst b. er krypteret med en symmetrisk algoritme

2
27. marts 2013 kl. 17:20

Men har du så kontaktet proshop, ellers nytter din konstatering jo ikk meget ;)

4
28. marts 2013 kl. 11:05

Det skulle da kun være hvis man er en egoistisk person og ikke vil give Proshop en mulighed for at rette fejlen...

Men nej nej, så da hellere hænge firmaet ud, i stedet for at få løst problemet... Jeg forstår ikke tankegangen...