Netsundhedsplejerske.dk: Datalæk afslører e-mailadresser og passwords i klartekst

Illustration: netsundhedsplejersken.dk / screendump
Netsundhedsplejerske.dk er blevet hacket, og brugernes password til siden samt e-mailadresser er i den forbindelse blevet lækket. De er nu mulige at finde på internettet.

Tjenesten netsundhedsplejerske.dk er blevet hacket af ukendte gerningsmænd. Det vides ikke, præcist hvornår hacket skete, men i februar blev brugernes e-mailadresser og kodeord til netsundhedsplejerske.dk tilgængelige på internettet.

Hjemmesiden er en brevkasse, hvor man kan få besvaret diverse spørgsmål af Helen Lyng Hansen, som er sundhedsplejerske.

»Det var en bevidst, målrettet og ulovlig indtrængen,« siger Heini Hansen, som står for hjemmesiden og også er Helens mand. Han uddyber, at de mener at have lukket sikkerhedshullet men vil ikke uddybe, hvordan hjemmesiden blev angrebet.

Netsundhedsplejerske.dk opbevarede e-mailadresser og kodeord på brugerne i klartekst, og det er problematisk, fordi angriberne dermed potentielt kan få adgang til andre tjenester, da folk ofte genbruger deres kodeord.

Netsundhedsplejerske.dk underrettede samtlige brugere om lækagen, da de fandt ud af, at deres side var blevet hacket.

I tidligere opgørelser har sitet været opgivet til at have knap 75.000 månedlige brugere.

»Vi underrettede vores brugere samme aften for at minimere konsekvenserne, og vi har også nulstillet alle kodeord, men vi vil gerne undgå at gå så meget i detaljer med hjemmesiden, at det kan bruges til at angribe os igen,« siger Heini Hansen.

Han vil ikke kommentere på, om de nye kodeord fortsat ligger som klartekst.

Ikke læk af følsomme persondata

Hændelsen har ikke medført læk af følsomme persondata. Spørgsmål-svar korrespondancen med brugerne gemmes på hjemmesiden, og de er dermed tilgængelige. Men der er ikke tale om følsomme persondata, understreger netsundhedsplejerske.dk.

Betalingsdelen af siden er underlagt en anden tjeneste, som ikke er kompromitteret.

Ifølge Heini Hansen arbejdes der netop nu på at forbedre sikkerheden på siden. Han regner med, at den indenfor meget kort tid, er blevet forbedret betydeligt.

»Vi tager selvfølgeligt ikke let på det her, og vi vil heller ikke underkende vores ansvar, men vi havde gjort alt så godt vi kunne, og arbejder løbende på at forbedre sikkerheden og hjemmesiden,« siger Heini Hansen.

Han har ingen forklaring på, hvorfor kodeord var opbevaret i klartekst.

Kodeord i klartekst er dårlig datasikkerhed

Som nævnt er kodeord i klartekst problematisk, da folk ofte genbruger deres kodeord på tværs af flere tjenester.

Men det er også et problem for sikkerheden, da det i realiteten betyder, at folk bag siden selv har adgang til kodeordene.

Problemet løses oftest ved, at kodeord automatisk hashes, når de bliver registreret. Altså køres kodeordene igennem en envejs-algoritme, som er designet til formålet. Dermed er værdien lagret i databasen obfuskeret, både mindre skadelig i tilfælde af et læk og hemmelig for folk i den organisation, der lagrer kodeordene.

Eksempelvis har Styrelsen for Dataforsyning og Effektivisering, på baggrund af en artikel i Version2, ændret deres procedure for kodeord i klartekst. De havde deres kodeord liggende i klartekst, for lettere at kunne yde brugersupport. Dette er nu ændret af hensyn til datasikkerhed.

Læs også: Dataforsyningsstyrelsen dropper kodeord i klartekst efter kritisk fokus

Lækket brugerdata er offentligt tilgængeligt

Hacket af netsundhedsplejerske.dk kom frem i lyset, da en bruger af tjenesten fik information om hacket på sikkerhedsmanden Troy Hunts hjemmeside, som beskæftiger sig med datasikkerhed.

Med indtastning af e-mailadresse kunne han se at denne var kompromitteret. I dette tilfælde var det muligt at se, at e-mailadressen var lækket fra netsundhedsplejerske.dk.

Brugeren kunne efterfølgende finde kodeord på et datadump af lækkede informationer, der var lagt op på en cloud-tjeneste, der specialiserer sig i anonym fildeling.

Brugeren blev opmærksom på, at e-mailadressen muligvis var blevet lækket, efter gentagne mails fra twitter. De advarede om, at nogen prøvede at logge ind med e-mailadressen.

Netsundhedsplejerske.dk var ikke opmærksomme på lækagen, før de blev gjort opmærksomme på det.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Sørensen

Er der nogen, som kan uddybe følgende:

Center for Cybersikkerhed anbefaler, at passwords bliver hashed med en password-hashfunktion,
at der anvendes salt, og at det kun er den hashede værdi, der bliver gemt i databasen.

Skal det forståes som at salt-delen ikke gemmes sammen med den hashede værdi? Og I så fald, hvor gemmer man så salten? Jeg har altid læst at det skulle gemmes som et par, således <salt>:<hash-værdi>.

  • 1
  • 0
Claus Bobjerg Juul

Hændelsen har ikke medført læk af følsomme persondata

Måske ikke, men personhenførbare data er der tale om, så GDPR vil rammer Netsundhedsplejerske.dk

indenfor meget kort tid, er blevet forbedret betydeligt

Hvordan kan det være at nogen bare vil forsøge at får en positiv vinkel på sådan en historie, erkend dog at man har fucket up big time.

Nej det havde Netsundhedsplejerske.dk ikke, for så ville de ikke kunne sige:

Hændelsen har ikke medført læk af følsomme persondata

  • 4
  • 0
Michael Jørgensen

indenfor meget kort tid, er blevet forbedret betydeligt

At forbedre sikkerheden "betydeligt", indenfor "meget kort tid". Det lyder som noget de skulle have gjort fra start af!

Kan ejerne af hjemmesider med login ikke gøres ansvarlige? Password hashing har været i brug siden 1978, altså for 40 år siden.

Det slags inkompetence burde være strafbar.

  • 6
  • 0
Klavs Klavsen

Skal det forståes som at salt-delen ikke gemmes sammen med den hashede værdi?


Nej. Man bør have 1 salt PER kodeord.. for at beskytte imod rainbow tables (tvinge folk til at udregne kodeordsmulighed for HVERT password).

Derudover så bør man idag helst anvende blowfish ( se https://www.techrepublic.com/blog/australian-technology/securing-passwor... ) - da den har en "cost" indstilling.. så man løbende kan opjustere hvad det koster at bruteforce et kodeord.

  • 1
  • 0
Per Gøtterup

Det ældgamle argument om at det er nemmere at supportere kunderne når man har adgang til deres password holder ikke. Der er mange måder at gemme password i en database i krypteret form, men som man kan dekryptere hvis nødvendigt.

For to år siden lavede jeg en lille applikation som arbejdede med et AES-krypteret password. Når supporteren skulle se det blev han bedt om at indtaste dagens password, der så dekrypterede passwordet til skærm. Alle kundepassword lå både som hash (til login) og AES-krypteret. Hver nat blev disse AES-krypterede passwords rekrypteret med et nyt password som blev sendt til supporterne.

For at kompromitere disse AES-krypterede passwords skulle man både have soucekode (for at se hvordan krypteringen foregår), de AES-krypterede passwords og dagens password.

Mailen til supporterne indeholdt i øvrigt ikke selve dagens password men et link til en side med uforudsigelig URL hvor det fremgik. Gamle password sider slettes (overskrives og slettes) også hver nat.

  • 0
  • 4
Anne-Marie Krogsbøll

"Hændelsen har ikke medført læk af følsomme persondata. Spørgsmål-svar korrespondancen med brugerne gemmes på hjemmesiden, og de er dermed tilgængelige. Men der er ikke tale om følsomme persondata, understreger netsundhedsplejerske.dk"

Hvor ved man det fra - at der ikke er noget læk af følsomme oplysninger? Jeg kender ikke siden, og den er vel nu ændret. Men på hjemmesiden er det vel sandsynligt, at spørgsmålene har været anonyme - og at spørgerne subjektivt kan opleve det som endog særdeles følsomt, hvad de har spurgt om? Har man en log, som viser, om spørgsmålenes oprindelse er tilgået uretmæssigt?

  • 0
  • 0
Troels Henriksen

Dette er stadigvæk et utroligt dårligt design. Gem aldrig løsen, om det så er krypteret eller ej. Hvis en bruger gemmer sit løsen, så håndteres det ved at generere et nyt. Det er ikke specielt svært at opsnappe en email, og du stoler endvidere også på at dine supporterer ikke bare løber med alle dine kunders løsener, som de sikkert også har brugt andre steder (det er selvfølgelig en dårlig idé, men det sker meget i praksis).

  • 7
  • 0
Bjarne Nielsen

Gem aldrig løsen

Amen.

Og må jeg i den forbindelse lige nævne SRP. Her kender serveren på intet tidspunkt passwordet, for klienten fører i stedet et zero-knowledge proof for at han kender det.

I praksis kan man stadig forsøge sig med bruteforce af de "verifiers", som serveren har, og det koger i bund og grund ned til, at gætte hvordan klienten har hashed sit password.

Protokollen har også nogle andre gode egenskaber.

  • 2
  • 0
Denny Christensen

Heini Hansen?

Nej jeg eferlyser ikke et svar, det er mere for at løfte diskussionen om os som brugere af en website og vores forventninger til at dem der står for sitet er 100 pct proffessionelle, uden at vi har en mulighed for at tjekke dette.

Så mistro mistro mistro :)

  • 0
  • 0
Jan Rouvillain

Netsundhedsplejersken.dk er bare en hjemmeside ud af mange med ingen sikkerhed, hvor et tyndt sikkerhedsglimmer er lagt over. De gør noget nyttigt for os, dog er de ofte sat op af nogle der typisk ikke ved bedre. Det er på tide at man stiller krav til hjemmesiderne og en mærkning som glad eller sur hængelås.

  • 4
  • 0
Jakob Sørensen

Ansvaret bør vel ligge hos dem, som har udviklet siden (antaget at den er udviklet af en ekstern partner).

Jeg har lige haft en elektriker til at skifte min sikringstavle. Jeg forventer at han har styr på det, for jeg har ingen mulighed for at kontrollerer det. På samme måde, kan vi ikke forvente at alle som har købt en hjemmeside, er eksperter indenfor IT-sikkerhed. Men man burde kunne forvente, at dem som laver den, som minimum har styr på det basale.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize