Udvikler undersøgte fejl på hjemmeside og fik adgang til personoplysninger fra Motorregistret
En opdatering af selskabet EasyParks hjemmeside har bevirket, at det i en periode har været muligt for uvedkommende at indtaste registreringsnummeret på køretøjets nummerplade og få returneret bilejerens navn og adresse fra Motorregistret, der rummer alle informationer om køretøjer i Danmark.
Normalt er der ikke offentlig adgang til at hente den form for personoplysninger ud direkte af dette register.
EasyPark, der leverer en service, hvor det er muligt at betale parkeringsafgift via en mobiltelefon, har lukket hullet. Det er sket på baggrund af en henvendelse fra Christian Schmidt. Han er uddannet ingeniør og arbejder til dagligt som softwareudvikler.
En dag i februar forsøgte Christian Schmidt at købe en dagsbillet til parkering via EasyParks hjemmeside. Konkret var der tale om en funktion, hvor brugeren indtaster et registreringsnummer og derefter er det meningen, at bilmærke og model tilhørende nummeret bliver returneret. På den måde er det muligt at se, om det er det rigtige registreringsnummer, der er indtastet.
Men i stedet for bilmærke og -model fik Christian Schmidt, der er uddannet civilingeniør og til dagligt arbejder som softwareudvikler i et mediebureau, en ikke videre sigende fejlmeddelelse. I et forsøg på at opklare, hvad det kunne skyldes, kiggede han i outputtet i et af browserens indbyggede udviklingsværktøjer.
»Min løsningsmodel, når sådan nogle it-systemer ikke virker, det er lige at kaste et blik i javascript-konsollen og se, om der er noget, der kan kaste lidt lys over, hvad der egentlig er galt,« siger Christian Schmidt.
Han forklarer, at der i konsollen stod en fejlbesked med noget i retning af 'xxx already active on Nordic hub'.
I den forbindelse gætter Christian Schmidt på, at fejlen derfor kan hænge sammen med, at han allerede havde en aktiv parkering i systemet - hvilket var tilfældet.
Softwareudvikleren opdagede imidlertid også noget andet under granskningen af javascript-konsollen.
JSON-kald
Det bagvedliggende JSON-kald, der skal returnerer oplysninger om bilmærke- og -model returnerede også andre, utilsigtede oplysninger. Nemlig navn og adresse på den person, som matcher registreringsnummeret. I dette tilfælde ikke Christian Schmidt selv, men et medlem af hans svigerfamilie.
Der så med andre ord ud til at være offentlig adgang til at tilgå personoplysninger i Motorregistret, blot ved indtastning af et registreringsnummer.
Christian Schmidt rettede efter opdagelsen henvendelse til EasyPark, som rettede fejlen i løbet af få dage for så at kvittere med et par biografbilletter. I forhold til håndteringen af henvendelse har Christian Schmidt ikke noget at udsætte på EasyParks, som han mener handlede hurtigt og rigtigt.
»Jeg synes egentlig, de har reageret, som man bør gøre i den situation.«
Så når Christian Schmidt fortæller om oplevelsen til Version2, er det ikke for at hænge Easypark ud, understreger han. Men han vil gerne sætte fokus på den generelle problemstilling, som han mener, der er forbundet med at samle personoplysninger i centrale registre.
Han uddyber synspunktet i en mail:
»Vore politikere nærer en uforklarlig tro på, at jura og gode intentioner kan sikre os imod uheld, udygtighed og uhæderlighed. Enhver it-professionel ved, at sikkerhedsfejl opstår hele tiden, kun et fåtal af dem bliver opdaget, og sikkerhedsmekanismerne er aldrig så gode, som man troede, de var. Det bør man have i tankerne, når man designer systemer som Rejsekortet, automatisk nummerpladegenkendelse, sessionslogning osv,« skriver Christian Schmidt.
EasyPark: Vi har skærpet kontrollen
Segment manager i EasyPark Martin Pedersen bekræfter, at virksomheden i februar modtog en henvendelse fra en bruger, som havde registreret et hul i virksomhedens licenssystem på Frederiksberg.
»En planlagt tilpasning i selvbetjeningsmodulet den 17. februar medførte at IT-kyndige via løsningens HTML-kode kunne aflæse navne og adresser på bilejere, som er registreret i Motorregistret,« oplyser Martin Pedersen til Version2 via mail.
Han fortæller desuden, at virksomheden blev gjort opmærksom på problemet via borgerhenvendelsen 20. februar, altså tre dage efter, tilpasningen af selvbetjeningsmodulet havde forårsaget fejlen. Herefter gik EasyPark i gang med at lukke hullet.
»Datasikkerhed er afgørende for kunderne og brugeres tillid til EasyPark og noget, vi tager meget alvorligt. Derfor har vi skærpet både vores interne og eksterne kontrol på alle systemer, der håndterer personoplysninger,« fortæller Martin Pedersen.
Kom gratis med til Danmarks største IT-sikkerhedsevent!
Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.
