Alle og enhver har kunnet tilgå dokumenter og filer med følsomme informationer fra et stort antal kommuner, forsikringsselskaber, advokatfirmaer og mange andre virksomheder og institutioner, der har benyttet den danske tjeneste sikker@mail til at sende krypterede og signerede mails.
Selv uden at være logget på en af tjenestens servere har det været muligt at åbne vedhæftede dokumenter og filer ved at manipulere med URL’en.
»Det er rigtig, rigtig trist og kedeligt. Jeg kan kun stå med bøjet hoved, andet kan jeg ikke sige,« siger Jens Winther Wullf, der er CEO i virksomheden Logiva, som står bag mailtjenesten, til Version2.
Logiva blev 16. januar omkring kl. 11.00 gjort opmærksom på sikkerhedshullet i sin webtjeneste SikkerMailBox (en del af sikker@mail, red.) og lukkede kort tid efter ned for alle sine servere, der senere på dagen kom op at køre igen.
Mailtjenesten har ifølge Logiva mere end 350.000 brugere fordelt på en lang række kunder – herunder 48 kommuner – og Logiva driver i alt 46 servere til mailtjenesten, hvoraf lidt mere end 30 servere kører med SikkerMailBox.
Ifølge Jens Mønster Sørensen, der er ansvarlig for udviklingen af sikker@mail, kan man ikke nødvendigvis udlede antallet af berørte kunder fra antallet af servere, da antallet af kunder pr. server varierer meget.
Han afviser med henvisning til kontraktforhold at oplyse, hvor mange kunder der er berørt.
»Det er langtfra alle kunder, der har været berørt af sikkerhedshullet. Kunderne er fordelt på flere servere, og den berørte feature har ikke været slået til på alle,« siger Jens Mønster Sørensen til Version2.
Anmeldt til Datatilsynet
I en mail, som Version2 er i besiddelse af, og som blev sendt rundt til de berørte kunder, da sikkerhedshullet blev opdaget, opfordrer Logiva til at melde sikkerhedshullet som et »potentielt sikkerhedsbrud« til Datatilsynet.
Logiva oplyser desuden til Version2, at man også selv har anmeldt sikkerhedshullet.
Kan ikke se, om sårbarhed har været udnyttet
Sikkerhedshullet har eksisteret siden i hvert fald midten af 2018, og Logiva har reelt ikke mulighed for at sige noget kvalificeret om, hvorvidt nogen har udnyttet det til at få adgang til kundernes oplysninger.
Data på serverne slettes løbende, og det er kun muligt at tilgå vedhæftede filer og dokumenter fra serverne fra 30 dage tilbage i tiden.
Det samme gør sig gældende for logfilerne. Logiva vurderer på baggrund af analyser af disse logfiler, at der i de 30 dage, før sikkerhedshullet blev opdaget, ikke har været tegn på, at uvedkommende har udnyttet det.
Logiva afviser, at Google har indekseret indholdet, selvom det har kunnet tilgås af alle og enhver, der indtastede et korrekt URL.
It-sikkerhedsvirksomheden Improsec opdagede sikkerhedshullet den 16. januar og kontaktede kort efter Logiva. CEO i Logiva, Jens Winther Wulff, er glad for, at det var en »god hacker«, der gav den ellers kedelige information om sikkerhedshullet videre.
»Det har givet anledning til at kigge på vores interne processer og på, hvordan vi internt kan stramme op, og så vil vi få nogen udefra til at angribe vores system. Man kan aldrig give 100 procent garanti for, at det ikke vil ske igen, men vi vil gøre vores bedste for det,« siger Jens Winther Wulff.