Posten har kendt sikkerhedshul i 3 år: Fri adgang til data om 6,3 millioner pakker

Illustration: leowolfert/Bigstock
Alle oplysninger om 6,3 millioner af pakker sendt gennem Post Danmarks WebPack-løsning har i årevis ligget frit tilgængeligt på nettet. Posten har kendt problemet siden 2008 - uden at gøre noget ved det.

Har du købt dyrt it-udstyr i webbutik? Eller måske diskret shoppet erotisk legetøj på nettet? Hvis varerne er leveret gennem Post Danmarks WebPack-løsning, har en elendig og sløset programmering betydet, at alle har haft adgang til at se alle oplysninger om forsendelsen.

Post Danmark blev helt tilbage i november 2008 gjort opmærksom på sikkerhedshullet af en it-udvikler, der forgæves havde forsøgt at få firmaet til gøre WebPack tilgængelig i andre browsere end Internet Explorer.

»Jeg forsøgte jeg så selv at lave en løsning, så firmaet, der var 100 procent Mac-baseret, også kunne bruge WebPack. Jeg opdagede ved et tilfælde, at når jeg var logget ind som demobruger, kunne jeg udtrække oplysninger om ikke bare firmaets pakker, men om alle pakker i databasen,« forklarer udvikleren til Version2. Udvikleren ønsker at være anonym, men hans identitet er redaktionen bekendt.

Illustration: Morten Koburg Thomsen

Problemet er, at løsningen blot tjekker for, om man er logget ind, men undlader at tjekke hvilken identitet, man er logget ind som. Dette er i sig selv graverende nok, men for at føje spot til skade, har WebPack-løsningen ind til for ganske nylig haft en demobruger-funktion liggende på forsiden, så potentielle, nye WebPack-kunder kunne teste løsningen.

Alle kunne få adgang

Der er ingen krav om registrering som demobruger, men ved at logge ind ad denne vej, har man også haft fuld adgang til alle oplysninger om de mere end 6,3 millioner af pakker, der siden lanceringen er kommet igennem systemet.

Heriblandt afsender, modtager, indhold, værdi, modtagers e-mail, modtagers telefonnummer, forsikringssum, bemærkninger a la "stilles i garagen" og mange flere. Det eneste, det har krævet, var at udskifte et id-nummer i en URL.

Udvikleren, der faldt over hullet, fortalte Post Danmark om det på et møde med en ansvarlig for løsningen, hvilket affødte følgende e-mail-svar dateret 6. november 2008:

»Vi kom jo vidt omkring i går og du fik peget på en del.. skal vi kalde det mangler.. i vores WebPack.. Nogle af tingene var mere alvorlige end andre. Kunne jeg lokke dig til, ganske kort, at skitsere de ting som du har opdaget af problemer. Vi er naturligvis særligt interesseret i sikkerhedshullerne.«

Herefter står hullet med Post Danmarks vidende pivåbent i tre år, ind til Version2 for nogle uger siden går ind i sagen.

Knappen med Demo-bruger er nu fjernet fra løsningen, og Post Danmark bedyrer, at sikkerhedshullet også er lukket.

Illustration: Morten Koburg Thomsen

»Vi har fundet ud af, at det har været muligt at fiske data ud af vores WebPack-løsning. Det er ikke acceptabelt, og det har vi ikke kunnet leve med, så derfor er hullet nu lukket,« siger it-chef i Postdanmark Logistik, Kjeld Pharao til Version2.

Udvikleren har ikke megen tiltro til Post Danmarks it-kompetencer i behold:

»Jeg synes, det er til grin. Ud over alle de irriterende fejl, der gør, at det kun virker i Internet Explorer, så har de kendt hullet i meget lang tid. Jeg har kontaktet Version2 i håb om at råbe Post Danmark op - men hvis jeg nu var en anden type, kunne jeg jo bare have lagt alle informationerne ud på nettet, siger udvikleren.

Læs også interviewet med Kjeld Pharao: Post Danmark vil ikke underrette hacking-truede pakkekunder

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Nilsson

Historien har vist at selv store virksomheder som man ellers forbinder med høje standarder kan blive hacket, senest Sony, så selvom det er en katastrofe at blive hacket så syntes jeg det er utilgiveligt ikke at gøre noget ved det.

Det vigtigste er at få lukket hullet med det samme og så straks derefter informere kunderne om problemet og kan hullet ikke findes så må man pænt lukke helt ned for databasen bag websitet.

--
Peter
ZXNET.DK

  • 0
  • 0
Rune Ploug

Det er da kanon pinligt at dem vi ellers har tiltro til og hvor der er love der beskytter vores pakker så er fundamentalt IT sikkerheds analfabeter. Synes man burde køre en principel sag mod PostDanmark da det slet ikke er lovligt at udstille private oplysninger på en måde som ikke er "en lille fejl" men et kæmpe amatør sikkerhedshuld som endda er blevet fortiet i flere år!? Hvad fanden er meningen!? Er der virkelig nogen der arbejder med sensitivt IT sikkerhed i Danmark der kan være så inkompetente? For hvis det er med vilje at de ikke har lukket hele systemet ned indtil det blev lavet eller ændret det med det samme er det jo død kriminelt!
Så endda tydeligt amatører der ikke forstår vigtigheden at mindst 30% af kunderne hvis ikke mange flere i dag bruger en af de 4-5 andre større browsere der alle overholder almen standard?
Er også ret sikker på vi har ret til at at kræve det virker i andre browsere end IE som jo slet ikke fås til mobiler og mange platforme. Alt andet offentligt IT og hjemmesider skal virke med de langt over 90% af modtagernes systemer.

  • 0
  • 0
Stefan Svensson

"Er også ret sikker på vi har ret til at at kræve det virker i andre browsere end IE"

Mon ikke lige du skulle tjekke op på din "ret sikker", før du hælder vandet ud.

  • 0
  • 0
Log ind eller Opret konto for at kommentere