Posten har kendt sikkerhedshul i 3 år: Fri adgang til data om 6,3 millioner pakker
Har du købt dyrt it-udstyr i webbutik? Eller måske diskret shoppet erotisk legetøj på nettet? Hvis varerne er leveret gennem Post Danmarks WebPack-løsning, har en elendig og sløset programmering betydet, at alle har haft adgang til at se alle oplysninger om forsendelsen.
Post Danmark blev helt tilbage i november 2008 gjort opmærksom på sikkerhedshullet af en it-udvikler, der forgæves havde forsøgt at få firmaet til gøre WebPack tilgængelig i andre browsere end Internet Explorer.
»Jeg forsøgte jeg så selv at lave en løsning, så firmaet, der var 100 procent Mac-baseret, også kunne bruge WebPack. Jeg opdagede ved et tilfælde, at når jeg var logget ind som demobruger, kunne jeg udtrække oplysninger om ikke bare firmaets pakker, men om alle pakker i databasen,« forklarer udvikleren til Version2. Udvikleren ønsker at være anonym, men hans identitet er redaktionen bekendt.
Problemet er, at løsningen blot tjekker for, om man er logget ind, men undlader at tjekke hvilken identitet, man er logget ind som. Dette er i sig selv graverende nok, men for at føje spot til skade, har WebPack-løsningen ind til for ganske nylig haft en demobruger-funktion liggende på forsiden, så potentielle, nye WebPack-kunder kunne teste løsningen.
Alle kunne få adgang
Der er ingen krav om registrering som demobruger, men ved at logge ind ad denne vej, har man også haft fuld adgang til alle oplysninger om de mere end 6,3 millioner af pakker, der siden lanceringen er kommet igennem systemet.
Heriblandt afsender, modtager, indhold, værdi, modtagers e-mail, modtagers telefonnummer, forsikringssum, bemærkninger a la "stilles i garagen" og mange flere. Det eneste, det har krævet, var at udskifte et id-nummer i en URL.
Udvikleren, der faldt over hullet, fortalte Post Danmark om det på et møde med en ansvarlig for løsningen, hvilket affødte følgende e-mail-svar dateret 6. november 2008:
»Vi kom jo vidt omkring i går og du fik peget på en del.. skal vi kalde det mangler.. i vores WebPack.. Nogle af tingene var mere alvorlige end andre. Kunne jeg lokke dig til, ganske kort, at skitsere de ting som du har opdaget af problemer. Vi er naturligvis særligt interesseret i sikkerhedshullerne.«
Herefter står hullet med Post Danmarks vidende pivåbent i tre år, ind til Version2 for nogle uger siden går ind i sagen.
Knappen med Demo-bruger er nu fjernet fra løsningen, og Post Danmark bedyrer, at sikkerhedshullet også er lukket.
»Vi har fundet ud af, at det har været muligt at fiske data ud af vores WebPack-løsning. Det er ikke acceptabelt, og det har vi ikke kunnet leve med, så derfor er hullet nu lukket,« siger it-chef i Postdanmark Logistik, Kjeld Pharao til Version2.
Udvikleren har ikke megen tiltro til Post Danmarks it-kompetencer i behold:
»Jeg synes, det er til grin. Ud over alle de irriterende fejl, der gør, at det kun virker i Internet Explorer, så har de kendt hullet i meget lang tid. Jeg har kontaktet Version2 i håb om at råbe Post Danmark op - men hvis jeg nu var en anden type, kunne jeg jo bare have lagt alle informationerne ud på nettet, siger udvikleren.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
