Røde ører hos open source-udviklere: Kodeord lå frit fremme

10. april 2013 kl. 07:383
En stribe projekter på Sourceforge-tjenesten blev tilsyneladende ramt af et hackerangreb. Det viste sig i stedet, at filerne med login-koder til databasen var gjort tilgængelige for alle.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Nogle gange er det nemt at være hacker.

For eksempel når en konfigurationsfil, som rummer alle nødvendige logins og passwords, er lagt ud til frit skue på internettet, fordi der ikke er sat de korrekte læse- og skriverettigheder for filen.

Sådan gik det en lang række open source-projekter på kodebasen Sourceforge.net, hvor en hacker tilsyneladende havde fundet en bagdør i systemet og skabte utryghed ved at ’deface’ mange af projekterne. Det skriver The Register.

Beskeden fra hackeren, som meget originalt kaldte sig ’1337 hacker ’, lød nemlig, at han brugte en bagdør i Sourceforge og valgte at advare om problemet ved at hacke nogle af projekterne. Hvis han ville, kunne han slette alle data eller lave ballade på anden vis.

Artiklen fortsætter efter annoncen

Hackeren havde i sagens natur adgang til at ændre data i de 44 Sourceforge-projekter, som blev ramt - men der var ikke tale om en bagdør til hele tjenesten, viste en nærmere undersøgelse, skriver Sourceforge.net i et blogindlæg.

I stedet var der en fællesnævner for de kodeprojekter, der havde haft uventet besøg: Konfigurationsfilen, som rummer brugernavn og password til selve kodedatabasen, havde haft uheldige læse/skrive-rettigheder hos dem alle, så alle kunne læse med. Det krævede blot, at man fik ideen og vidste, hvor sådan en kunne findes.

Sourceforge bruger resten af blogindlægget på at forklare, hvordan man sætter de rette rettigheder for sine filer. The Register foreslår derudover, at fuld adgang for alle ikke er standard-indstillingen, når man opretter et projekt hos Sourceforge.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
10. april 2013 kl. 09:55

Facepalm