Britisk efterretningsvæsen begår password-begynderfejl

Ansøgere til spion-jobs hos britiske GCHQ bliver mødt med ringe password-sikkerhed. Glemte man sit password, blev det tilsendt i klartekst via e-mail.

Det er ikke første gang - og heller ikke sidste gang - den fejl bliver begået: Et password sendt i klartekst i en ukrypteret e-mail.

Men at den sker hos den nationale efterretningstjeneste i Storbritannien, er mere overraskende.

Alle, som søger job hos GCHQ, skal oprette sig som bruger på en hjemmeside, og det var her, at den klassiske begynderfejl blev afsløret. Det skriver The Register.

En ansøger opdagede problemet for flere måneder siden, da han havde glemt sit password. Men i stedet for at nulstille passwordet, som er god praksis i dag, fik han altså sit gamle password tilsendt. Det afslørede samtidigt, at GCHQ opbevarer alle passwords på en måde, så de kan genskabes i klartekst, i stedet for at bruge sikkert krypterede hash-værdier af passwordet, som ikke kan tilbageføres.

Efterretningstjenesten har svaret, at det er et gammelt system, som er ved at blive skiftet. Og at antallet af ansøgere, som efterfølgende har glemt deres password og har fået tilsendt det igen, er meget lavt.

Men det formilder ikke den ansøger, som opdagede problemet, der altså stadig ikke er løst.

Netop til denne slags jobs skal en ansøger indtaste en lang række personlige oplysninger til GCHQ’s baggrundstjek, så læk af data er så meget mere kritisk for de ramte, forklarer han til The Register.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Bjerregaard

masser af firmaer og organisationer der gladeligt vil sende dig dit password i klartekst. For at nævne et par fra den sidste måned: AAB, Movia(commutenet). Førstnævnte vil nu endda have mit CPR-nummer, sikkert over en ukrypteret forbindelse, så den kan "servicere mig bedre". Yikes!

  • 5
  • 0
Nils Lück

Jeg opdagede ligeledes fejlen hos dandomain. Da jeg kontaktede dem omkring problemet (og et andet problem der gør det relativt let at lave session hijacking på siden), sagde de blot at de ikke mente at det kunne betale sig at gøre noget ved det - ifølge det svar jeg fik gør de så meget ud af sikkerheden, at det jo ikke er noget problem at passwords ikke gemmes forsvarligt.

Som en sjov sidenote, så kan man faktisk se sit password direkte på deres hjemmeside når man er logget ind - en super dårlig kombination sammen med det session hijacking problem der også er.

Det er ærgerligt, at der er så mange der har problemer med at bygge bare den mindste smule sikkerhed ind i deres applikationer.

  • 2
  • 0
Martin Kollerup
  • 3
  • 0
Mikkel Krøigård

"Jamen der er ikke sket noget skidt endnu".

Jeg har oplevet at få et automatisk generere password, der bestod af et ord og et tal. Kunne ikke skiftes. Typisk bliver man mødt med trætte og afvisende svar, hvis man vover at udtale sig om manglende sikkerhed.

Som regel ser man nok brugeren som den uvidende og udvikleren som den kloge, men sådan er det bare ikke altid.

  • 0
  • 0
Jan Gundtofte-Bruun

Jamen så lad mig også komme med en historie. Et af de billige teleselskaber, som jeg blev kunde hos for nogen tid siden, havde en meget underlig hjemmeside hvor man kunne taste et langt password, men de gemte kun de første 12 tegn -- i klartekst, og telefonsupport var villig til at oplyse det! Det var sådan at jeg kunne finde længden: "Hvad er det sidste bogstav i mit password?" "Det er et p." "Godt, så mangler de sidste (12+n)."

Jeg kontaktede efterfølgende deres support per email med en lang email med adskillige separate klagepunkter, og jeg fik et meget positivt svar tilbage (fra England, nå) og de havde rettet alle fejlene (så vidt de havde oplyst, og jeg udefra kan verificere) inden for ret kort tid, et par uger tror jeg det var.

Inkompetens er ikke nogen undskyldning, men ugidelighed er noget helt andet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere