Sikkerhedshul gav adgang til CSC-server: 'Jeg kunne blandt andet se kildekode til Polsag'
Lige nu sidder to såkaldte superhackere varetægtsfængslet i Danmarkshistoriens største hackersag. De er sigtet for at have hacket sig ind i CSC’s mainframe og stjålet en stor mængde personfølsomme data.
Men nu det viser sig, at man ikke behøver at være hacker for at få adgang til CSC’s server. Et hul i sikkerheden gjorde det nemlig muligt for softwareudvikler Anders Jensen at få adgang til CSC’s mainframe, hvor han blandt andet kunne downloade kildekoden til Polsag. Hullet stod på vid gab i en længere periode fra 2011 til 2012. Her fortæller Anders Jensen sin historie til Version2:
»Pludselig opdagede jeg til min store overraskelse, at jeg kunne se roden af CSC’s server. Der var blandt andet det der lignede kildekoden til Polsag, et pensionssystem og andre store CSC-projekter,« siger Anders Jensen, der indtil oktober sidste år var ansat som teknisk ansvarlig i en jysk virksomhed, der leverer software til de danske kommuner. En virksomhed, der i kraft af sin position som leverandør til kommunerne, har adgang til blandt andet CPR-data og kommunale notater via CSC.
I 2011 fik Anders Jensen dog adgang til en hel del mere end det, da han af uransagelige årsager endte blandt massevis af mapper på CSC’s server. Normalt har hver enkelt bruger eller kunde, om man vil, kun adgang til én mappe - sin egen.
Den dag sad Anders Jensen og rodede med kommandoer. Virksomheden skulle ændre FTP-klient, og fordi der ikke er mange klienter, der understøtter den FTP-server, CSC opererer med, ville han selv kigge efter data, der kunne fortælle hvilken FTP-klient, der kunne bruges.
Og med en simpel “/”-kommando fik han pludselig adgang til indhold, der i hvert fald ikke var beregnet til ham.
»Jeg kunne se roden af CSC's interne server. Ikke bare, hvilke kunder, der var oprettet på FTP’en,« siger Anders Jensen, som efter eget udsagn var rødglødende af raseri over CSC’s behandling af personfølsomme data. Han tilkaldte sin chef, og de to kunne ved nærmere eftersyn konstatere, at de blandt andet kunne downloade en kopi af kildekoden til Polsag - Politiets nu skrottede it-system.
»Vi kunne se en mapperne, men vi rodede ikke så meget rundt. Vi ville ikke snage,« siger Anders Jensen, der efterfølgende kontaktede CPR-kontoret, som henviste ham til CSC.
CSC: 'Vi lukker hullet'
Her nåede sagen underdirektøren, der lovede at hullet ville blive lukket - og så tænkte Anders Jensen ikke mere over det. Indtil året efter.
I foråret 2012 var den igen gal med virksomhedens FTP-klient, og Anders Jensen gik samme vej for at finde data til en ny. Til endnu større overraskelse end første gang eksisterede hullet stadig.
Sammen med sin chef overvejede Anders Jensen nu, hvorvidt de skulle gå til Datatilsynet eller medierne med sagen, men virksomheden ville ikke risikere sit fremtidige virke med CSC, og i stedet nøjedes de med at henvende sig direkte til CSC igen.
Et par dage senere var hullet lukket.
»Min naivitet fik mig til at glemme alt om sagen. De havde jo lovet at rydde op,« siger Anders Jensen, der først nu står frem af hensyn til sin gamle arbejdsplads, som han har bedt Version2 om at lade være anonym.
Version2 har desuden talt med Anders Jensens daværende kollega, Mads Thomsen, som bekræfter historien. De to sad på samme kontor i virksomheden, og Mads Thomsen var vidne til både opdagelsen af FTP-serveren og den efterfølgende kontakt til CSC, som ifølge Mads Thomsen behandlede henvendelsen med noget, 'der virkede som ligegyldig.'
Mange har adgang til data
Siden har CSC ændret sit system, så der ifølge Anders Jensen er mere styr på sikkerheden. Men han er dybt forarget over, hvor lemfældig CSC’s håndtering af sikkerheden er.
»Rigtig mange virksomheder har adgang til data ved CSC - for eksempel udtræk af CPR. Men FTP’en, som CSC brugte til at gøre data tilgængelig for sine kunder, var end ikke krypteret, den er kun ‘beskyttet’ af en IP-adressebegrænsning«, påpeger han.
Det betyder, at alle ansatte i en af CSC's kunde-virksomheder har adgang til de personfølsomme data fra CSC, hvis bare de har et brugernavn, som altid består af et bogstav efterfulgt af firmaets navn og et kort password. Udover navne og CPR-numre kan det være oplysninger om forældremyndighed, fødselsoplysninger, civilstand, kommunale notater og så videre.
»Selv om jeg reelt ikke ved, hvad de fleste af mapperne på den server indeholdt, illustrerer det her, at sikkerheden hos CSC er helt hen i vejret. Det indbyder til, at man udnytter systemet,« siger Anders Jensen.
Det er ikke første gang der er rejst kritik af at CSC ikke har krypteret sin FTP-servere. Sidste år skrev Version2 om internetaktivisten Torben Andersen der med en søgning på domænet csc.dk med værktøjet ShodanHQ fandt frem til flere FTP-servere hos CSC, der ikke var beskyttede.Han kunne få adgang til serverne uden at skulle bruge brugernavn eller password og ’kiggede ind’ på en af dem. Torben Andersen fik uforvarende rettigheder til at ændre, kopiere og slette filer.
Version2 har gentagende gange forsøgt at få en reaktion fra CSC på Anders Jensens historie men indtil videre forgæves.
Fakta
- Anders Jensen har bedt Version2 om at lade sin tidligere arbejdsplads forblive anonym. Vi er bekendt med virksomheden og dens rolle som leverandør til kommunerne, ligeså vel som Anders Jensens tidligere chef er bekendt med vores dækning af sagen.
- Anders Jensens tidligere kollega, Mads Thomsen, sad på daværende tidspunkt på samme kontor og har over for Version2 bekræftet Anders Jensens historie.
- CSC var ifølge Anders Jensen klar over, at deres FTP ikke var krypteret, selvom det normalt forholder sig sådan for sikkerhedskritiske FTP'er.
- Anders Jensen sagde selv op fra sit daværende arbejde.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
