Øresundsbroen hacket af viagra-spammere

Hjemmesiden for den dansk-svenske broforbindelse blev i nat plastret til med reklamer for potensmidler. Sikkerhedstjek afslørede flere huller i systemet.

Om formålet var at afstive pylonerne eller forlænge broen, må stå hen i det uvisse. Under alle omstændigheder har hackere præsteret at trænge ind på hjemmesiden for Øresundsbroen og derefter overplastre den med reklamer for potensmidler.

Angrebet blev opdaget onsdag morgen, forklarer Jesper Skjønnemand, der er webredaktør for Øresundsbron, som den dansk-svenske forbindelse officielt hedder.

»I stedet for de sædvanlige billeder og felter med særlige tilbud havde hackerne indsat en masse tekst-links til hjemmesider for potensmidler. Vi kunne forholdsvis hurtigt løse problemet,? siger Jesper Skjønnemand og understreger, at hackerne ikke har haft adgang til de personfølsomme oplysninger fra bro-forbindelsens "Min konto"-system.

»"Min konto" er placeret på et helt andet og separat system, så kundernes personfølsomme data har på ingen måde været i fare,« siger Jesper Skjønnestad.

Øresundsbrons it-chef Tonni Nielsen forklarer samtidig, at Øresundsbron som en konsekvens af hacker-angrebet netop har gennemført en grundig test af hele systemet.

»Vi allierede os med et it-sikkerhedsfirma, som her til formiddag har undersøgt vores system for flere huller. Det lykkedes dem at finde yderligere et par stykker, som nu skulle være sikret,? siger Tonni Nielsen.

Angrebet får samtidig Øresundsbron til at fremskynde en flytning af hjemmesiden.

»Inden fredag regner vi med at have flyttet hele systemet til en ny og mere sikker platform. Man kan aldrig vide sig helt sikker i forhold til hacker-angreb, men nu gør vi alt, hvad der kan gøres,« siger Tonni Nielsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christian Nobel

Uddybning (er det ikke det der en del af aktiv journalistik?) udbedes på:

Inden fredag regner vi med at have flyttet hele systemet til en ny og mere sikker platform.

Så måske vi kunne blive delagtiggjort i hvad der bruges i dag, og hvad der flyttes til?

/Christian

  • 0
  • 0
#2 Deleted User

Hej Christian,

Du har helt ret. Jeg spurgte da også Øresundsbron om netop dette, men af hensyn til sikkerheden ønskede de ikke at oplyse om, hvordan hackerne helt præcist var kommet ind i systemet eller hvad de konkret har gjort for at undgå lignende angreb fremover, herunder også skiftet af platform. Dette respekterer jeg naturligvis.

Vh,

Morten Rasmussen Journalist, Version2

  • 0
  • 0
#3 Anonym

Jeg spurgte da også Øresundsbron om netop dette, men af hensyn til sikkerheden ønskede de ikke at oplyse om, hvordan hackerne helt præcist var kommet ind i systemet

Det synes jeg er useriøst.

I stedet for at 'beskytte sit ego', burde man give den slags videre, så andre kan lære af fejlen, fremfor at begå sine egne.

Hvis man kigger på siden kan man se, at der benyttes PHP.

Der fiser en masse prober rundt for at finde mulighed på remote execution, så det vil nok være et godt bud.

Et eksempel fra i går er denne querystring fra en uri: id=http://coopandhoney.com/safe.txt?

Sikker i dag - sikker i morgen ?

Det er vigtigt altid at lave code review, for i morgen kan det være chefens nevø, der lige skulle lave en lille 'fræk' PHP funktion.

Det er ligesom fygesne - det kræver kun den mindste sprække for at komme ind.

  • 0
  • 0
#4 Christian Nobel

Jeg synes bare det er lidt magert, selvfølgelig skal de ikke levere en opskrift til hackere, men hvis man er lidt åben omkring hvad man laver, så kunne andre jo måske også kunne få lidt glæde af det.

Eller er svaret at de er så himmelråbende inkompetente at de skammer sig så meget og dermed tror at security by obscurity er bedre?

/Christian

  • 0
  • 0
#6 Anonym

Eller er svaret at de er så himmelråbende inkompetente at de skammer sig så meget og dermed tror at security by obscurity er bedre?

Det er måske spørgsmålet om de[1] overhovedet selv ved hvad der er sket.

Prøv at se hvor mange andre domæner der ligger på de 2 IP adresser, som Palle henviser til: http://www.robtex.com/ip/130.227.110.242.html og http://www.robtex.com/ip/194.30.189.189.html

[1] Ved ikke rigtig hvem 'de' er, men formentlig leverandøren.

  • 0
  • 0
#10 Martin Jakobsen

Ja så kan diverse trolde jo slås om det. Hvilket platform de kører er irrelevant da de kan sikres(det er bare forskelligt hvordan). Så hvis det er via platformen, er det fordi dem der administrerer det ikke har gjort det arbejde ordenligt.

Hvad der derimod er interessant(for dem selv) er om det er en applikations fejl eller platform.

Hvis det er en applikations fejl kan platformen allerhøjest sikre at hackeren ikke får superbruger rettigheder. Og så nytter det ikke at installere det på en ny server hvis den gamle.

Man kan jo for deres skyld håbe på at de et fordi de har været på shared hosting og så får en dedikeret server isedet for.

  • 0
  • 0
Log ind eller Opret konto for at kommentere