Netcompany-fejl gav adgang til skolebørns Aula-data: Alvorlig kritik af Kombit

6 kommentarer.  Hop til debatten
Netcompany-fejl gav adgang til skolebørns Aula-data: Alvorlig kritik af Kombit
Illustration: Kuzina Natali / Bigstock Photo.
Datatilsynet har netop givet alvorlig kritik til Kombit, som ikke har levet op til sit GDPR-ansvar.
18. marts kl. 12:36
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I 2019 kunne uautoriserede personer frit tilgå danske skolebørns oplysninger i kommunikationsplatformen Aula, og derfor får Kombit, som leverer it-ydelser til kommunerne, nu alvorlig kritik af Datatilsynet.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
6 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
18. marts kl. 13:25
Fremhævet

Så en bruger på Twitter den anden dag der nævnte at han kunne logge ind med sit MitID brugernavn og adgangskode uden at bruge nøgleviser eller chip, og det undrede han sig lidt over. Det skyldes selvfølgelig at man kan logge ind med lavt sikringsniveau i Aula. Jeg testede lidt og her bliver det rigtig genialt af Kombit....

Hvis jeg logger ind i Aula med mit MitID brugernavn og adgangskode (specifikt valgt adgangskode som identifikationsmiddel), så bliver jeg promptet for et højere sikringsniveau når jeg forsøger at tilgå følsomme beskeder. Når man så klikker videre for at logge ind i et højre sikringsniveau, så forventer man jo lige at man blot logger ind med MitID og benytter en ekstra faktor. Men næh nej, her kan man kun logge ind med sit NemID......

2
18. marts kl. 14:33

»Hverken Netcompany, F-secure (som udførte en ekstra penetrationstest i forbindelse med release 1.1.5), Kombit eller kommunerne havde grund til at tro, at den nye programmeringskode, der alene vedrørte IdP-loginløsningen, ville kunne påvirke UNI-loginløsningen, og at der derfor var behov for at teste UNI-loginløsningen yderligere,«

Det er jo ikke fordi at der ikke er blevet tænkt på at teste. Desværre er tænkte tests bare ikke nok. Automatiske test derimod - det virker!

“Program testing can be used to show the presence of bugs, but never to show their absence!”

  • Edsger W. Dijkstra
3
21. marts kl. 09:30

Automatiske test derimod - det virker!

Det kræver så, at man skriver en automatisk test til den nye funktionalitet. Hvis vurderingen er, at koden ikke ændrer noget, så vil man meget ofte ikke skrive en test. Det giver sådan set god mening - vi ændrer ikke noget, så vi skriver ikke en test.

4
21. marts kl. 10:26

Det kræver så, at man skriver en automatisk test til den nye funktionalitet.

Eller at man skrev en håndfuld automatiske test til UNI-login med efterfølgende eskalering af privilegier via NemID, den gang man udviklede den funktionalitet.

Men givet dette scenario, med to forskellige brugere, så kræver automatiske test lidt mere avancerede test fixtures. Det tager tid og så bliver det typisk nedprioriteret.

Men forhåbentlig har de så lavet en automatisk test nu, så samme fejl ikke bliver reintroduceret igen.

5
21. marts kl. 10:33

Men forhåbentlig har de så lavet en automatisk test nu, så samme fejl ikke bliver reintroduceret igen.

Jeg tror mange har lært meget om testing og potentielle faldgruber. Både ved Kombit, Netcompany, og F-Secure. (Jeg er i øvrigt imponeret over pen-test af et ordinært release)

6
21. marts kl. 11:09

testing og potentielle faldgruber

Man kunne også smide en gang peer review og andre kvalitetssikringsværktøjer oveni. Men igen, så tager det tid og dermed penge. Nogle steder bliver man nødt til at trække en streg i sandet, og sige at det er godt nok .

Jeg er i øvrigt imponeret over pen-test af et ordinært release

Fuldstændig enig!

1
18. marts kl. 13:25
Fremhævet

Så en bruger på Twitter den anden dag der nævnte at han kunne logge ind med sit MitID brugernavn og adgangskode uden at bruge nøgleviser eller chip, og det undrede han sig lidt over. Det skyldes selvfølgelig at man kan logge ind med lavt sikringsniveau i Aula. Jeg testede lidt og her bliver det rigtig genialt af Kombit....

Hvis jeg logger ind i Aula med mit MitID brugernavn og adgangskode (specifikt valgt adgangskode som identifikationsmiddel), så bliver jeg promptet for et højere sikringsniveau når jeg forsøger at tilgå følsomme beskeder. Når man så klikker videre for at logge ind i et højre sikringsniveau, så forventer man jo lige at man blot logger ind med MitID og benytter en ekstra faktor. Men næh nej, her kan man kun logge ind med sit NemID......