Softwareingeniør: Alt for nemt at få adgang til persondata fra zoo-årskort

Illustration: Søren Louv-Jansen
Københavns Zoo har anvendt postnummer som password for adgang til årskortindehaveres persondata.

Ejere af årskort til Københavns Zoo har haft persondata knyttet til kortet dårligt beskyttet.

En softwareingeniør, Søren Louv-Jansen, har nemlig påvist, at det var relativt nemt at få adgang til årsabonnenternes persondata om navn, adresse, email, og telefon - samt mulighed for at ændre i abonnementet.

Miseren er, at Københavns Zoo ifølge Søren Louv-Jansen automatisk tildeler alle brugere deres lokale postnummer som adgangskode, uden mulighed for at ændre den.

I hvert fald indtil i går aftes:

»Da brugernavnene er fortløbende numre, er det utrolig simpelt enten manuelt eller automatisk at løbe en række brugernavne igennem og forsøge med postnumre fra københavnsområdet som adgangskode,« skriver Søren Louv-Jansen i en mail til Version2.

Billedet viser eksempel på Zoo-abonnenter, bosiddende på Frederiksberg. Brugernavnene er ikke rigtige, men er tilfældigt genereret. Illustration: Søren Louv-Jansen

»Jeg skrev et lille program på et kvarters tid, og i løbet af et par minutter fandt det de første 100 medlemmers login - herefter stoppede jeg programmet,« skriver han videre til Version2.

Testede hypotese

Søren Louv-Jansen fik mistanken om den tyndbenede beskyttelse, da han var i Zoo før jul.

»Jeg kom på sporet af det, fordi jeg selv har årskort. Jeg ville ændre i mine oplysninger, og kunne ikke finde ud af at logge ind. Efter lidt graveri fandt jeg frem til, at mit postnummer var min adgangskode. Dette virkede som en utrolig dårlig adgangskode, og jeg skrev et program, der testede min hypotese om, at alle andre brugeres adgangskode også var deres postnummer. Og det var det,« skriver han til Version2.

Tager det meget alvorligt

Zoos presse- og kommunikationsansvarlige, Jacob Munkholm Hoeck, skriver i en mail til Version2, at ingen persondata har været eksponeret:

»Jeg vil gerne som det første slå en streg under, at der IKKE har været en datalækage – databasen ligger ikke ’frit tilgængeligt’, som beskrevet på Twitter.«

»Vi er ganske rigtigt blevet kontaktet af Søren Louv-Jansen, der har gjort opmærksom på en potentiel sikkerhedsbrist, og han har i den forbindelse gjort os opmærksom på sin fremgangsmåde. Han har understreget over for os, at han ikke har benyttet sig af adgangen, men blot ønsker at gøre os opmærksomme på problemet. Det tager vi selvfølgelig meget alvorligt, og vores it-afdeling er på sagen her til aften (i går, torsdag, red.),« skriver Jacob Munkholm Hoeck.

Københavns Zoo har ikke svaret på, om hvordan selskabet, jf. ovenstående svar, kan garantere at der ikke er tale om et databrud. Altså om dokumentation for, at uvedkommende ikke har haft adgang til årskortindehaveres persondata.

Rykker hurtigt

Zoo tilføjede en captcha på deres loginside i går aftes.

»De rykker hurtigt,« bemærker Søren Louv-Jansen. »Det gør jo brute force en del mere besværligt.«

Version2 har som politik ikke at omtale sikkerhedsbrister, der medfører svag beskyttelse eller læk af persondata, før der er strammet op på sikkerheden.

Dagbladet Politiken har dog her til morgen valgt at omtale sagen, og på den baggrund - sammen med at Zoo har iværksat de første tiltag til bedre beskyttelse - har vi valgt at gå ud med historien nu.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Niels Dybdahl

Nu har jeg opdateret mine oplysninger hos zoo. Og vupti så skiftede passwordet til mit nye postnummer uden at jeg blev informeret om det.
Jeg tror dog ikke at alle brugernavne er fortløbende, for mit er over 40000000 og de viste er omkring 30000000 og så mange årskort tvivler jeg på at der er solgt.
Men min adresse og email ligger stadig frit tilgængeligt selv efter at der er sat captcha på.

  • 6
  • 0
Louise Klint

Vi har også årskort til Zoo. Og ligesom du kortnummer over de 40000000, men kort er købt for 6-8 år siden, så det er lidt svært at vide med de fortløbende numre.

Heldigvis er der ikke betalingskortoplysninger tilknyttet, da det er fornyet oppe hos dem selv, men jeg har alligevel ikke rigtig turde forsøge mig på login-siden i dag.

  • 3
  • 0
Mads Tandrup

Det er selvfølgelig skidt af Zoo har lavet et sikkerhedshul. Men det er lige så slemt at Søren råber ud på Twitter og diverse nyhedsmedier om disse huller.
Kontakt da Zoo og aftal hvornår det offentliggøres. Alt andet er bare medieliderlig selvpromovering.

  • 4
  • 5
Mads Askø Gammelgaard Stark

Jeg vil nu ikke sige det er et hul som sådan som er blevet offentliggjort. Jeg ser det mere som nogle dumme valg/beslutninger der er taget vedr. deres system som påpeges.

Sidst jeg fandt en fejl var billet systemet til Bornholm flyveren, som gjorde du let kunne gå igennem samtlige billetter/kvitteringer.
Jeg hørte aldrig et pip fra hverken dem eller leverandøren af systemet.

  • 3
  • 0
Simon Mikkelsen

Når de nu har taget de dårlige valg, som de har, skal de have ros for at rykke hurtigt og mitigere på både afsløringen og på udviklingen.

Modsat tilsvarende tilfælde arbejder de konstruktivt med at løse problemet frem for at sagsøge anmelderen. Personligt ville jeg kun finde nok logins til at afgøre at der er tale om et generelt problem, altså 1-2 udover mit eget. Der er ingen grund til at løbe 100 igennem og man giver bare argumenter til nogen der vil ramme én juridisk.

Udskiftning af alle kodeord på én gang er ikke nødvendigvis noget man bare gør og jeg accepterer at den endelige løsning kan tage lidt tid.

Så stor ros herfra for håndteringen.

  • 6
  • 0
Log ind eller Opret konto for at kommentere