Reportage

Softwareingeniør: Alt for nemt at få adgang til persondata fra zoo-årskort

3. januar 2020 kl. 07:519
Softwareingeniør: Alt for nemt at få adgang til persondata fra zoo-årskort
Illustration: Søren Louv-Jansen.
Københavns Zoo har anvendt postnummer som password for adgang til årskortindehaveres persondata.
person
Henning Mølsted
Redaktionschef
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Henning Mølsted
Redaktionschef

Ejere af årskort til Københavns Zoo har haft persondata knyttet til kortet dårligt beskyttet.

En softwareingeniør, Søren Louv-Jansen, har nemlig påvist, at det var relativt nemt at få adgang til årsabonnenternes persondata om navn, adresse, email, og telefon - samt mulighed for at ændre i abonnementet.

Miseren er, at Københavns Zoo ifølge Søren Louv-Jansen automatisk tildeler alle brugere deres lokale postnummer som adgangskode, uden mulighed for at ændre den.

I hvert fald indtil i går aftes:

Artiklen fortsætter efter annoncen

»Da brugernavnene er fortløbende numre, er det utrolig simpelt enten manuelt eller automatisk at løbe en række brugernavne igennem og forsøge med postnumre fra københavnsområdet som adgangskode,« skriver Søren Louv-Jansen i en mail til Version2.
Billedet viser eksempel på Zoo-abonnenter, bosiddende på Frederiksberg. Brugernavnene er ikke rigtige, men er tilfældigt genereret.

»Jeg skrev et lille program på et kvarters tid, og i løbet af et par minutter fandt det de første 100 medlemmers login - herefter stoppede jeg programmet,« skriver han videre til Version2.

Testede hypotese

Søren Louv-Jansen fik mistanken om den tyndbenede beskyttelse, da han var i Zoo før jul.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Jeg kom på sporet af det, fordi jeg selv har årskort. Jeg ville ændre i mine oplysninger, og kunne ikke finde ud af at logge ind. Efter lidt graveri fandt jeg frem til, at mit postnummer var min adgangskode. Dette virkede som en utrolig dårlig adgangskode, og jeg skrev et program, der testede min hypotese om, at alle andre brugeres adgangskode også var deres postnummer. Og det var det,« skriver han til Version2.

Tager det meget alvorligt

Zoos presse- og kommunikationsansvarlige, Jacob Munkholm Hoeck, skriver i en mail til Version2, at ingen persondata har været eksponeret:

»Jeg vil gerne som det første slå en streg under, at der IKKE har været en datalækage – databasen ligger ikke ’frit tilgængeligt’, som beskrevet på Twitter.«

»Vi er ganske rigtigt blevet kontaktet af Søren Louv-Jansen, der har gjort opmærksom på en potentiel sikkerhedsbrist, og han har i den forbindelse gjort os opmærksom på sin fremgangsmåde. Han har understreget over for os, at han ikke har benyttet sig af adgangen, men blot ønsker at gøre os opmærksomme på problemet. Det tager vi selvfølgelig meget alvorligt, og vores it-afdeling er på sagen her til aften (i går, torsdag, red.),« skriver Jacob Munkholm Hoeck.

Artiklen fortsætter efter annoncen

Københavns Zoo har ikke svaret på, om hvordan selskabet, jf. ovenstående svar, kan garantere at der ikke er tale om et databrud. Altså om dokumentation for, at uvedkommende ikke har haft adgang til årskortindehaveres persondata.

Rykker hurtigt

Zoo tilføjede en captcha på deres loginside i går aftes.

»De rykker hurtigt,« bemærker Søren Louv-Jansen. »Det gør jo brute force en del mere besværligt.«

Version2 har som politik ikke at omtale sikkerhedsbrister, der medfører svag beskyttelse eller læk af persondata, før der er strammet op på sikkerheden.

Dagbladet Politiken har dog her til morgen valgt at omtale sagen, og på den baggrund - sammen med at Zoo har iværksat de første tiltag til bedre beskyttelse - har vi valgt at gå ud med historien nu.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
Simon Mikkelsen
6. januar 2020 kl. 13:35

Når de nu har taget de dårlige valg, som de har, skal de have ros for at rykke hurtigt og mitigere på både afsløringen og på udviklingen.

Modsat tilsvarende tilfælde arbejder de konstruktivt med at løse problemet frem for at sagsøge anmelderen. Personligt ville jeg kun finde nok logins til at afgøre at der er tale om et generelt problem, altså 1-2 udover mit eget. Der er ingen grund til at løbe 100 igennem og man giver bare argumenter til nogen der vil ramme én juridisk.

Udskiftning af alle kodeord på én gang er ikke nødvendigvis noget man bare gør og jeg accepterer at den endelige løsning kan tage lidt tid.

Så stor ros herfra for håndteringen.

  • more_vert
    • insert_linkKopier link
8
Mads Askø Gammelgaard Stark
5. januar 2020 kl. 21:21

Jeg vil nu ikke sige det er et hul som sådan som er blevet offentliggjort. Jeg ser det mere som nogle dumme valg/beslutninger der er taget vedr. deres system som påpeges.

Sidst jeg fandt en fejl var billet systemet til Bornholm flyveren, som gjorde du let kunne gå igennem samtlige billetter/kvitteringer. Jeg hørte aldrig et pip fra hverken dem eller leverandøren af systemet.

  • more_vert
    • insert_linkKopier link
7
Mads Tandrup
4. januar 2020 kl. 16:24

Det er selvfølgelig skidt af Zoo har lavet et sikkerhedshul. Men det er lige så slemt at Søren råber ud på Twitter og diverse nyhedsmedier om disse huller. Kontakt da Zoo og aftal hvornår det offentliggøres. Alt andet er bare medieliderlig selvpromovering.

  • more_vert
    • insert_linkKopier link
6
Louise Klint
3. januar 2020 kl. 16:22

Vi har også årskort til Zoo. Og ligesom du kortnummer over de 40000000, men kort er købt for 6-8 år siden, så det er lidt svært at vide med de fortløbende numre.

Heldigvis er der ikke betalingskortoplysninger tilknyttet, da det er fornyet oppe hos dem selv, men jeg har alligevel ikke rigtig turde forsøge mig på login-siden i dag.

  • more_vert
    • insert_linkKopier link
5
Anne-Marie Krogsbøll
3. januar 2020 kl. 14:22

Kommentaren har åbenbart gjort indtryk, for nu kan man slet ikke logge ind - man skal personligt henvende sig i havens åbningstid....

Så den der med, at der ikke er sket databrud.....man er i hvert fald blevet bekymrede, og har valgt at lukke helt ned.

  • more_vert
    • insert_linkKopier link
4
Stig Christensen
3. januar 2020 kl. 14:16

Hos min læge er det lige meget, hvad vej kortet køres gennem læseren.

Hvad skulle det betyde? Så vidt jeg ved ligger der kun CPR nummer digitalt på sygesikringskortet, altså det samme som står ude på kortet.

  • more_vert
    • insert_linkKopier link
3
Brian Moos Lindberg
3. januar 2020 kl. 11:46

Det er ikke så underligt. Det er enten stregkoden eller magnetstriben der aflæses og det kan man gøre i begge retninger.http://xxxxxxx.dk/?x=8

  • more_vert
    • insert_linkKopier link
2
Nis Schmidt
3. januar 2020 kl. 11:11

Hos min læge er det lige meget, hvad vej kortet køres gennem læseren.

  • more_vert
    • insert_linkKopier link
1
Niels Dybdahl
3. januar 2020 kl. 10:15

Nu har jeg opdateret mine oplysninger hos zoo. Og vupti så skiftede passwordet til mit nye postnummer uden at jeg blev informeret om det. Jeg tror dog ikke at alle brugernavne er fortløbende, for mit er over 40000000 og de viste er omkring 30000000 og så mange årskort tvivler jeg på at der er solgt. Men min adresse og email ligger stadig frit tilgængeligt selv efter at der er sat captcha på.

  • more_vert
    • insert_linkKopier link