Røde ører hos open source-udviklere: Kodeord lå frit fremme

En stribe projekter på Sourceforge-tjenesten blev tilsyneladende ramt af et hackerangreb. Det viste sig i stedet, at filerne med login-koder til databasen var gjort tilgængelige for alle.

Nogle gange er det nemt at være hacker.

For eksempel når en konfigurationsfil, som rummer alle nødvendige logins og passwords, er lagt ud til frit skue på internettet, fordi der ikke er sat de korrekte læse- og skriverettigheder for filen.

Sådan gik det en lang række open source-projekter på kodebasen Sourceforge.net, hvor en hacker tilsyneladende havde fundet en bagdør i systemet og skabte utryghed ved at ’deface’ mange af projekterne. Det skriver The Register.

Beskeden fra hackeren, som meget originalt kaldte sig ’1337 hacker ’, lød nemlig, at han brugte en bagdør i Sourceforge og valgte at advare om problemet ved at hacke nogle af projekterne. Hvis han ville, kunne han slette alle data eller lave ballade på anden vis.

Hackeren havde i sagens natur adgang til at ændre data i de 44 Sourceforge-projekter, som blev ramt - men der var ikke tale om en bagdør til hele tjenesten, viste en nærmere undersøgelse, skriver Sourceforge.net i et blogindlæg.

I stedet var der en fællesnævner for de kodeprojekter, der havde haft uventet besøg: Konfigurationsfilen, som rummer brugernavn og password til selve kodedatabasen, havde haft uheldige læse/skrive-rettigheder hos dem alle, så alle kunne læse med. Det krævede blot, at man fik ideen og vidste, hvor sådan en kunne findes.

Sourceforge bruger resten af blogindlægget på at forklare, hvordan man sætter de rette rettigheder for sine filer. The Register foreslår derudover, at fuld adgang for alle ikke er standard-indstillingen, når man opretter et projekt hos Sourceforge.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere