Mystisk fejl viser vildt fremmeds brugernavn og kodeord på optagelse.dk

Illustration: leowolfert/Bigstock
En elev i 10. klasse, der skulle ansøge om optagelse i gymnasiet online, fik serveret en vildt fremmed elevs brugernavn og kodeord.

En mystisk fejl ser ud til at hjemsøge det it-system, der ligger bag hjemmesiden www.optagelse.dk, som tusinder af håbefulde 9.- og 10.-klasseselever i denne uge har brugt til at søge ind på gymnasiet eller en erhvervsuddannelse.

Det fortæller faren til en 16-årig pige fra en 10.-klasse, der torsdag forsøgte at logge på optagelse.dk for at søge ind på et gymnasium efter sommerferien.

Login-felterne med brugernavn og adgangskode var nemlig allerede udfyldt på forhånd i browseren. Men med en vildt fremmed elevs oplysninger, fortæller faderen.

Systemet fungerer på den måde, at eleven først logger ind og vælger, hvilke uddannelsessteder hun vil søge ind på. Det havde den 16-årige gjort fra en pc på den efterskole, hun går på nu.

Derefter kan en forælder logge ind på elevens konto på optagelse.dk og skrive digitalt under på elevens valg med NemID for at bekræfte valget.

Men da den 16-åriges far ville gøre netop det fra sin egen pc derhjemme, fik han altså helt automatisk serveret login-oplysninger fra en person, hverken han selv eller den 16-årige kender.

Han kunne derefter uden videre logge ind med den fremmede brugers oplysninger, hvilket bekræftes af skærmbilleder fremsendt til Version2.

Både den 16-årige og dennes far understreger, at de ikke aner, hvem den pågældende person er.

Fejl kunne fremprovokeres igen

Faren har efterfølgende kunnet fremprovokere fejlen igen i flere forskellige browsere - selv efter at have ryddet de oplysninger, browseren normalt gemmer:

»Jeg bad browseren om at ryde cookies, cache og det hele og så prøvede så igen. Det samme skete igen i både Firefox og Chrome, men ikke i Internet Explorer,« siger han til Version2.

Det er endnu ikke lykkedes at få en kommentar fra Uni-C, der står bag login-mekanismen på optagelse.dk. Uni-C's teknikere undersøger dog sagen nærmere, oplyses det til Version2.

Men ifølge sikkerhedsekspert og Version2-blogger Henrik Lund Kramshøj skal der ikke tages for let på den slags fejl.

»Det er relativt alvorligt, hvis man kan logge ind som en anden person og for eksempel fjerne personen fra et bestemt gymnasium, som vedkommende har søgt ind på,« siger Henrik Lund Kramshøj til Version2.

Fejlen tyder på at finde sted på serversiden, siger han.

Men det er svært at sige med sikkerhed, hvad der ser sket uden at kende detaljerne i forløbet og det tekniske setup bag optagelse.dk, påpeger han.

Generelt er det ikke altid uden problemer at skulle håndtere de sessioner på nettet, som bruges ved identifikation af brugere, der for eksempel skal logge ind på sider som optagelse.dk eller en netbank.

»Det med at håndtere sessions er altid på OWASP's (organisation for netsikkerhed, red.) top ti over de største problemer. Hvis folk laver deres egne løsninger til det, kan der ske det, at de session identifiers, der gerne skulle være helt tilfældige, ikke rigtig er det alligevel,« siger Henrik Lund Kramshøj til Version2.

I værste fald kan der også være sket det, at login-sessionen er bundet op til en bestemt ip-adresse, som flere personer befinder sig bag ved.

Det er dog ikke særlig sandsynligt, vurderer han.

»Det lyder helt gak, at man ville benytte en så simpel metode i 2012. Hvis det er tilfældet, så har man virkelig lavet en bøf,« siger Henrik Lund Kramshøj.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anonym

Nu må man tage sig sammen.

Kan der gå en hel dag, uden at man skal høre om skodløsninger, inden for offentlig IT ? Sessionshåndtering, skulle vel være noget der kan klares, fra en sådan dyrekøbt løsning.

NemID ?

Er der ikke tale om en fejl på serversiden, så er der sandsynlighed for, at der er tale om endnu en mallware, som det der ligger på et ukendt antal PC'er, der blev brugt i forbindelse med NemID hacket, mod Danske bank.

Men da det fortsat er hemmeligt, hvordan man får den mallware, og i øvrigt umuligt at fjerne den, så kan man ikke finde ud af, om det medfører eller indgår i fejlen.

  • 4
  • 5
#3 Henrik Pedersen

UNI-C kommer efter jer for at påvise deres løsningers elendighed...

I kan finde en kommentar herinde hvor jeg kommenterede på deres sikkerhed og snakkede om et sikkerhedshul. Min mor (jeg gik i 9. klasse) fik et opkald fra rektor omkring en mand fra UNI-C der ønskede at snakke med mig.

Håber det går bedre for faderen i det her tilfælde :)

  • 11
  • 0
#6 Anders Kjeldsen

jeg fandt engang en teksfil over logins til alle brugere på skolens netværk.. en server der havde et netværksshare på en mappe der hed "raw". hvad lagde der i den?

der lagde simpelthen en gigant liste med over 50.000 entries - som var logins MED PASSWORD i rå format til ElevPlan!

Det sjoveste var den tekniske skoles it-afdelings reaktion på det jeg fortalte.. :P

  • 4
  • 0
#7 Anonym

Min PC er så flink...

Hver gang jeg trykker forkert brugernavn og/eller kodeord, så skal jeg bare indtaste det rigtige igen :D Den er jo så gammel den går på krykker :D

Og så hos Uni-C ....... Med et logonsystem, som man VED er hacket.....

Jeg har et svagt håb om, at det viser sig, at Uni-C, ikke har skrevet noget ordentligt serverkode, og ser frem til at høre der kom en løsning på "mystikken".

  • 2
  • 2
#14 Henrik Madsen

Ok, så eleven vælger uddannelsessteder og forældrene logger så ind med NemID og skriver under.

Er der en manuel løsning til forældre som ikke er hoppet få HackedID ??

Skulle melde et barn i skole og det var lige ved det ikke kunne lade sig gøre uden NemID.

Nå men der er jo så ~10 år til jeg skal underskrive på den måde så mon ikke SkodID er skiftet med noget bedre inden da.

Henrik Madsen

  • 3
  • 1
#17 Nicolai Hansen

»Det med at håndtere sessions er altid på OWASP's top ti over de største problemer. Hvis folk laver deres egne løsninger til det, kan der ske det, at de session identifiers, der gerne skulle være helt tilfældige, ikke rigtig er det alligevel,« siger Henrik Lund Kramshøj

Ud fra beskrivelsen og billedet, så har fejlen da ikke umiddelbart noget med sessions at gøre? Jeg skal ikke kunne sige hvad der er galt med deres system, men det lyder godt nok underligt at man skulle få serveret et tilfældigt brugernavn og kode.

Og hvis man succesfuldt kunne logge ind med den kode som kom frem, så må det vel også betyde at UNI-C gemmer tusindevis af koder i klartekst...

  • 1
  • 0
#18 Anonym

Ja, det ser også lidt underligt ud fra min side. Jeg er ikke enestående og har spurgt mig lidt for, men har ikke fundet noget der kan bekræfte en sessions fejl. Men måske ?

Det ligner lidt et godt gammeldags hack. Som hvis man i gamle dage blev ramt af en win-virus, der snuppede ens logon-kode og brugernavn. Den fremgangsmåde, er så gammel at det forekommer flabet, hvis den bliver brugt i en ny version ;)

  • 0
  • 0
Log ind eller Opret konto for at kommentere