Fandt meget stor sårbarhed, men blev afvist: »Trist, at du prøver at tjene penge på dette«

Illustration: anatolir/Bigstock
17-årig Eivind advarede Norges idrettsforbund om et alvorligt sikkerhedshul i systemer, som forvalter følsom information om over to millioner medlemmer. Han blev ikke taget seriøst, og sikkerhedshullet blev først lukket efter fem måneder.

Da Eivind Limstrand på 18 år først tog kontakt med Norges idrettsforbund (NIF) i marts, ønskede han en såkaldt ‘bug bounty’ som belønning for at afsløre, hvor sikkerhedshullet befandt sig, men den dans var forbundet ikke villig til at være med på.

Trist, at du vil tjene penge

»Synes da, det er trist, at du ikke er mere loyal mod idrætten og vil tjene penge på sådan noget,« skrev supporterne uden at ville tage sagen videre til ledelsen.

Med sikkerhedshullet i hånden kunne Limstrand manipulere NIF’s databaser og hente information om nogle af Norges højestprofilerede idrætsstjerner, som bor på hemmelige adresser.

Limstrand påstår, at hullet kunne udnyttes af hvem som helst uden specielle adgangsrettigheder.

Den 18-årige arbejder i dag som it-lærling i Teknisk Ukeblad Media – selskabet, som ejer digi.no, som denne artkel stammer fra.

Betaler 800.000 kroner

I den internationale it-branche er det ikke usædvanligt at betale findeløn for denne type sikkerhedshul. I juli skrev digi.no, at Microsoft betaler op mod 800.000 kroner for at afdække fejl i deres indlogningstjenester.

Idrettsforbundet oplyser til digi.no, at de ikke betaler ‘findeløn’. Siden det var forbundets opfattelse, at Limstrands henvendelse ikke handlede om at varetage idrættens interesse, blev der heller ikke gjort mere ved sagen i marts.

»Som vi forstår korrespondancen, var det ikke et tilbud om at hjælpe os med at løse problemet med et eventuelt sikkerhedshul. Vi oplevede dette som et forsøg på at få betaling for at afsløre et sikkerhedshul, ikke som at lave tilttag, som løser problemet,« siger kommunikationsansvarlig Finn Aagaard til digi.no.

Ikke mulighed for at betale

Hvorfor gik denne hændelse ikke videre i systemet?

»Vi var lige så tydelige dengang som nu: Vi har ikke mulighed for at betale for tip fra offentligheden, men sætter pris på at modtage information om eller dokumentation for eventuelle sikkerhedshuller,« siger Aagaard.

Den norske myndighed for it-sikkerhed, Nasjonal sikkerhetsmyndighet (NSM), mener, det er en god tilgang.

»Så vidt vi ved, er det ikke et generelt problem, at man beder om belønning for at afdække en sårbarhed. Varslere bør absolut ikke kræve belønning for at informere om en sårbarhed, som er vigtig for en virksomhed. Generelt bør ingen lade sig presse til at betale for sådan noget,« siger leder af NorCERT Håkon Bergsjø.

Skal rette hurtigt

Bergsjø fortæller, at de opfordrer alle, som afdækker svagheder i it-systemerne, om at informere den berørte part om dette, så hurtigt det lader sig gøre.

Samtidig påpeger NorCERT-lederen, at det er meget vigtigt, at virksomheden, som bliver gjort opmærksom på en svaghed, øjeblikkeligt løser udfordringen, de står over for.

»Den virksomhed, som bliver gjort opmærksom på en sårbarhed, bør forsøge at lukke hullet. Nogle virksomheder har denne kompetence selv, mens andre skal have hjælp til dette arbejde. Ikke alle sikkerhedshuller kan lukkes med det samme, og så bør det vurderes, hvilke kompencerende tiltag der så skal tages,« siger Bergsjø.

Gigantiske mængder data

Eivind Limstrand tilbød til sidst at give NIF dokumentationen om sikkerhedshullet vederlagsfrit.

»Jeg ligger selv i denne database og vil ikke have min information lækket. Jeg bekymrer mig også om andres sikkerhed,« siger Limstrand.

Hvad tænker du om, at NIF ikke tog dette alvorligt allerede i marts?

»Jeg troede, at en organisation på NIF’s størrelse ville tage sikkerhedshuller som dette mere alvorligt. Der er tale om gigantiske mængder data,« siger Limstrand.

Sagen meldt til Datatilsynet

Aagaard i NIF er meget tilfreds med, at it-lærlingen ombestemte sig i kompensationsspørgsmålet, og mener, at det er prisværdigt. Databruddet er meldt til det norske Datatilsynet.

Denne artikel er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Juul

Om Eivind skal belønnes eller ej for sin opdagelse, skal jeg ikke komme ind på.

Ledelsen SKAL altid inddrages når man får kendskab eller mistanke til at, man har en sårbarhed som ikke er kendt.
Jeg ville som ledelse altid overveje 1) skal jeg betale Eivind for informationerne 2) skal jeg få gennemført en sikkerhedstest, der måske kan finde den sårbarhed som Eivind fandt. 3) Tror jeg at Eivind lyver og bare forsøger at få penge ud af mig.

Dan Christensen

Håber et eller andet sted de får en bøde der langt overstiger en evt findeløn til Eivind. Fuld forståelse for det ikke er deres politik, men tror ikke der er skrevet en politik på lige netop dette eksempel. Typisk bliver en politik først skrevet efter man har haft brug for den. Helt ærligt, vi snakker heller ikke om de 800.000 kr MS giver, giv da den stakels lavtlønnet lærling et par tusinde. De kunne bare trække den sikkerhedsansvarlige tilsvarende i løn, så tror jeg der går lang tid før det sker igen :)

Claus Juul

Sælge fortrolige informationer til 3-part er ulovlig

Jeg tvivler på at informationer om en sårbarhed er fortrolige viden.
De data som opbevares i systemet er måske fortrolige.

Tjenesten er eksponeret mod internettet, så på en eller anden måde må sårbarheden og viden om den være offentlig viden.

Eivind kunne også have forsøgt at sælge den viden han har til producenten af løsningen (såfremt at det er et købt produkt)

Mads T. Jensen

.. at man betaler for bugs. Vi skal ikke længere tilbage end 21 år siden, hvor danskeren Christian Orellana ville have mere for at finde en bug i Netscape, end hvad der blev tilbudt..

https://www.wired.com/1997/06/netscape-3-0-users-will-wait-for-bug-fix/

Sagen var stor, for Orellana valgte at publicere buggen og dermed næsten kæntrede Netscape på børsen, fordi angiveligt han ikke kunne få de penge han ville have..

så,.. hvis det er sandt at "Så vidt vi ved, er det ikke et generelt problem, at man beder om belønning for at afdække en sårbarhed" så har de jo bare levet under en sten siden midt 90erne mindst...

Claus Jørgensen

Hvis V2 endelig skal lave en citathistorie, så bør det bringe hele historien.
Dette fra den originale artikel fremgå ikke:

Dokumentasjonen som 18-åringen satt på ble oversendt NIF torsdag i forrige uke, og sikkerhetshullet var tettet fredag ettermiddag.

Avviket ble meldt Datatilsynet samme dag.

Utvidede rettigheter
To av sikkerhetshullene var knyttet til Min idrett. De gjorde det mulig å manipulere HTML-koder for å lese informasjon om brukerne i databasen. Disse to sikkerhetshullene ble tettet i slutten av april 2018. Dette hullet kunne utnyttes av en normal bruker i Min idrett, sier Aagard til digi.no og fortsetter:

Et annet sikkerhetshull er avdekket via en tredjepartsløsning. Dette er en medlemsløsning som noen idrettslag benytter. Løsningen har integrasjon mot idrettens sentrale database og gir mulighet for å manipulere persondata og opprette personobjekter.

Her har vi gitt beskjed til selskapet at de må stenge integrasjonen omgående, og skrive om løsningen før denne åpnes igjen. For å utnytte hullet antar vi at en må ha en bruker med utvidet tilgangsrettigheter.

Det giver et billede af at det som ikke er gået videre til ledelsen er selve afpresningsforsøget, mens at "nogen" ihvertfald har søgt efter svagheder i april siden de delvist er lukket sidst i april.

Anders Jensen

Jeg er helt uenig med NSM i, at folk der finder sikkerhedshuller i IT-systemer ikke skal have findeløn.

Tværtimod burde det være et lovkrav for overhovedet at få lov til at opbevare personfølsomme oplysninger om borgere, at man betaler et rimeligt honorar til folk der finder sikkerhedshuller i disse systemer.

Rasmus Nielsen

Synes da, det er trist, at du ikke er mere loyal mod idrætten og vil tjene penge på sådan noget

Er jeg den eneste, som har det lidt svært ved at idrætten i mange tilfælde på den ene side opererer med tungt lønnede poster i toppen og med store frivillige arbejdsindsatser i bunden, som man med selvfølgelighed forventer at folk vil yde i den gode sags tjeneste?

Ovenstående bemærkning fra supporten lader til at forudsætte at Eivind Limstrand helt naturligt stiller sin tid gratis til rådighed og i modsat fald må være et dårligt menneske. Forhåbentlig er supporten også frivillig arbejdskraft så man kan undskylde sig med at man får hvad man betaler for.

Torben Mogensen Blogger

Tværtimod burde det være et lovkrav for overhovedet at få lov til at opbevare personfølsomme oplysninger om borgere, at man betaler et rimeligt honorar til folk der finder sikkerhedshuller i disse systemer.

En risiko ved en sådan model er, at en IT-medarbejder i en virksomhed "planter" en sårbarhed, og får en bekendt til at "finde" den og kræve honorar derfor. Det kan være meget svært at bevise, at sårbarheden er bevidst lavet, og at der ikke er nogen forbindelse mellem den, der har lavet den sårbare kode, og den, der indrapporterer sårbarheden. Hvis honoraret er stort nok, kan jeg ikke se, at man kan hindre den slags misbrug.

Men mange sikkerhedshuller bliver opdaget af brugere. F.eks. da faderen til et barn fandt, at han kunne taste tilfældige CPR-numre ind i kommunens vuggestuetilmelding og få de tilhørende navne. Han blev anklaget for hacking, så det vigtigste er, at lovgivningen klart siger, at enhver adgang til et system gennem offentlige kanaler (f.eks. et browserinterface) er lovlig, så længe det ikke bruger fortrolig information såsom loginoplysninger. Og der kunne gives et mindre honorar (f.eks. 1000kr) til dem, der opdager det. Det er lille nok til, at risikoen for misbrug er lille, og stort nok til, at en bruger vil gide at oplyse det.

Jesper Nielsen
Log ind eller Opret konto for at kommentere