Kodeord og persondata i klartekst: Hackere fik adgang til fysiklaboratorie i USA

Sikkerhedsforskerne fik blandt andet adgang til flere tusinde dokumenter. Illustration: Rasmus Meisler
Et amerikansk statsstøttet laboratorium manglede grundlæggende it-sikkerhed, da etiske hackere kiggede ind i systemerne. Man havde adgang til værdifulde dokumenter, kodeord i klar tekst og persondata.

En etisk hackergruppe har hacket sig ind i systemerne hos Fermilab, et amerikansk laboratorium for partikelfysik og -acceleratorer, som viser sig at have meget dårlig it-sikkerhed.

Det skriver Ars Technica.

Sikkerhedsforskerne Robert Willis, John Jackson og Jackson Henry fra den etiske hackergruppe Sakura Samurai har brugt værktøjer som ‘amass’, ‘dirsearch’ og ‘nmap’ til at kigge ind i fnal.gov-subdomæner. Her fandt man åbne mapper, åbne porte og usikret tjenester, som kriminelle potentielt kan bruge til at stjæle data.

Forskerne fandt blandt andet konfigurationsdata fra et eksperiment kaldet ‘NoVa’, der handler om at undersøge neutrinoer i universets udvikling. Derudover fandt man kodeord i klar tekst og persondata som navne sammen med mailadresser og bruger-ID’er på medarbejdere. Dette er blot et udpluk af oplysninger fra flere tusinde dokumenter, som forskerne fik adgang til.

Læs også: Skjult i 12 år: Ny sårbarhed opdaget i hundreder af millioner Dell-maskiner

»Jeg var overrasket over, at en statslig myndighed, som har et budget på over en halv milliard dollars, kan have så mange sikkerhedshuller,« fortæller Robert Willis til Ars Technica om Fermilab, der er støttet af energiministeriet i USA.

»Efter denne undersøgelse, tror jeg ikke engang, de havde en grundlæggende it-sikkerhed, som kan få en til at ligge vågen om natten. Det ville ikke være godt, hvis en ondsindet aktør stjæler vigtig data, som det har kostet USA flere hundrede millioner at producere, samtidig med at man giver mulighed for at manipulere med udstyr, der kan få alvorlige konsekvenser.«

Ifølge sikkerhedsforskerne, reagerede Fermilab hurtigt på gruppens advarsel og lappede sikkerhedshullerne i en fart.

Læs også: Ransomware-hackere stjæler rapporter fra amerikansk politi

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Klavs Klavsen

Ifølge sikkerhedsforskerne, reagerede Fermilab hurtigt på gruppens advarsel og lappede sikkerhedshullerne i en fart.

Så ringe praksis "lapper man ikke bare" - så den historie må de længere ud på landet med. De har muligvis ændret lidt i firewall settings eller andet - så det benyttede hul i den yderste skal (perimeter sikkerhed) er lukket.. Men at få ryddet op i resten,kræver at man begynder at sætte kompetente folk til at gøre det rigtigt (fra starten af - dvs. de begynder at bygge nye systemer op, der har sikkerhed designet ind - og migrerer services der til).

  • 13
  • 0
#2 Ove Andersen

Jo jo, men havde det været herhjemme i andedammen havde vi sagsøgt "indbryderne" og sagt man ikke regnede med nogle ville være så onde at udnytte disse uhensigtsmæssigheder. Det er jo ulovligt.

Jeg tænker så ofte på det udsagn jeg læste på https://www.dr.dk/nyheder/indland/gabende-sikkerhedshul-paa-sundheddk-pa...

Sundhed.dk frygter dog ikke, at sikkerhedshullerne vil blive udnyttet. Det fortæller Morten Elbæk Petersen, der er direktør i sundhed.dk, i et skriftligt svar til DR Nyheder.

Der vil jo være tale om dokumentfalsk, som er strafbart. Og generelt har coronapandemien vist, at danskerne følger reglerne og ikke misbruger den tillid, vi som borgere har til hinanden. Derfor er vores forventning også, at borgerne vil bruge vores løsning ansvarligt. Det er i øvrigt også erfaringen indtil nu.

  • 12
  • 0
#4 Aksel Koplev

@ Ove og Ditlev

I løber med en halv vind, når i relaterer omtalen af det hack, som har været i rørledningen til sundhed.dk.

Der er ikke fundet noget sikkerhedshul i sundhed.dk. Derimod har det vist sig muligt at manipulere med den præsentetion, som man får på sin telefon af coronapasset, så f.eks. datoen kan ændres. Det er alvorligt nok; men noget helt andet.

  • 3
  • 0
#5 Ditlev Petersen

I løber med en halv vind, når i relaterer omtalen af det hack, som har været i rørledningen til sundhed.dk.

Jeg er ikke benådet med profetiske evner. Hacket på rørledningen blev først kendt for et par timer siden.

Hvad angår sundhed.sk, så er problemet, at det er alt for let at lave et falsk coronapas (jeg har ikke prøvet), og i den forbindelse kritiserer vi den faste praksis blandt offentlige chefer om at udtale, at huller (i bred forstand) aldrig er noget problem, for det vil være ulovligt at bruge dem (og derfor kan ingen finde på at gøre det).

Så hvad er det egentlig for en synd, vi har gjort os skyldige i?

  • 1
  • 0
#6 Aksel Koplev

@Ditlev og Ove

Først I må undskylde at jeg sammen blandede nyheden om rørledningen med denne om fysilaboratoriet iUSA.

I er stadigvæk OT når i bruger anledningen til at haselere over sundhed.dk og de danske myndigheder. ngen har lagt skjul på at den nuværende coronapas løsning erandet end en midlertidig nødløsning.

Desuden snyder du jo hverken myndighederne eller de offentelige chefe, hvis du fifler dig til et falsk coronapas; men dine idrætskammerater, dine venner, som du går på café eller restaurant med eller din frisør.

  • 1
  • 0
Log ind eller Opret konto for at kommentere