Avslørte sikkerhetsbrist hos dansk IT-gigant. De svarte med å anmelde ham for hacking

[Gjest Marius B. Jørgenrud]

Avslørte sikkerhetsbrist hos dansk IT-gigant. De svarte med å anmelde ham for hacking

[Abel46]

Ja, det er klart - skyt budbringeren!

Hadde han ikke sakt noe, hadde det ikke vært noe problem. I hvert fall ikke enda...

[Aiven]

Helt utrolig at de har anmeldt ham, det virker jo som han har reddet dem

[naldy]

Innsatsen bør heller belønnes!

[Gjest Slettet-Pqy3rC]

Anmeldelsen røper i seg selv at de har ledelse/mellomledelse uten IT kompetanse i dette selskapet. De har ikke forstått hva han har gjort.

 

Jeg finner det fascinerende at selskaper har ledelse som mangler kompetase innenfor selskapets primære funksjonsområder. Det virker som kompetanse innen kjernevirksomheten ikke vektlegges i særlig grad når ledelse ansettes.

[-Night-]

Sikkert en DSL/SL som ble buthurt av dette derav anmeldeslen.....

[Per Buer]

Haha.

 

En gang for lenge siden satt jeg på vakt hos en kunde for å påse at backup gikk bra. Mens jeg ventet på at jobben skulle kjøre ferdig så kikket jeg litt på HTML-koden til et norsk nettsted, drevet av noen advokater som avholdt auksjoner. Dette var i den dynamiske webbens barndom og sikkerhetsfeil var overalt.

 

Nettstedet har et gapende sikkerhetshull - klassisk SQL-injection. Så ved å legge på litt SQL i passordfeltet så kunne jeg greit logge inn som en hvilken som helst bruker - inkludert admin.

 

Jeg samfattet det jeg fant sammen med forslag til hvordan de kunne fikse det og sendte hele greia over til advokatselskapet. Backup gikk fint så jeg kunne gå hjem etterpå. På T-banen hjem så slo det meg at muligens hadde begått en kjempebrøler. Jeg hadde jo logget meg inn som en uautorisert bruker til en tjeneste drevet av et advokatselskapet. Ikke bare det - men jeg hadde gjort det fra et kundenett. Så det slo meg at jeg potensielt kunne regne med besøk fra politiet i tiden som kom. Jeg sov ikke godt den natten.

 

Heldigvis reagerte de veldig positivt og jeg fikk svar dagen etter meg en stor takk. De implementerte forslagene jeg hadde til endringer og netttjenesten ble sikret samme dag.

 

Snubler jeg over tilsvarende idag så lar jeg være å varsle om det - åpenbart fordi jeg ikke vet hvordan et tilfeldig selskap kan finne på å reagere hvis de ikke har en publisert policy på det. Ikke at jeg gjør slikt lenger.

[Nobunaga]

De lever jo bare opp til slagordet sitt:

KMD - IT MED INNSIGT

 

Jo større hull, jo mer innsigt.

[Unlimited LTD]

Er det noen som vet hva loven faktisk sier her?

 

Dersom du ser et hus som har en åpen dør, og du går inn, tar med deg TV-en, blir du vel politianmeldt, selv om døren var åpen? (Forsikringselvskapene har nok en annen mening, men dem om det).

Er det da ikke det samme her? Selv om du ser at det er en åpning inn i systemet har du ikke lov til å logge deg inn dersom du skjønner at det er et sikkerhetshull?

[Børt-Erik]

Er det noen som vet hva loven faktisk sier her?

 

Dersom du ser et hus som har en åpen dør, og du går inn, tar med deg TV-en, blir du vel politianmeldt, selv om døren var åpen? (Forsikringselvskapene har nok en annen mening, men dem om det).

Er det da ikke det samme her? Selv om du ser at det er en åpning inn i systemet har du ikke lov til å logge deg inn dersom du skjønner at det er et sikkerhetshull?

 

Kan vel mer sammenlignes med at du ser et hus med en åpen dør, går inn, iog slenger deg i sofaen for å se på TV'en.

[fuzzy76]

Dette er vel ikke så ulikt den 11-12 år gamle Tele 2 saken hvor man kunne hente ut det norske folkeregisteret. Der slapp Tele 2 unna noen som helst følger av den dårlige sikkerheten sin.

[Bolson]

Er det noen som vet hva loven faktisk sier her?

 

Dersom du ser et hus som har en åpen dør, og du går inn, tar med deg TV-en, blir du vel politianmeldt, selv om døren var åpen? (Forsikringselvskapene har nok en annen mening, men dem om det).

Er det da ikke det samme her? Selv om du ser at det er en åpning inn i systemet har du ikke lov til å logge deg inn dersom du skjønner at det er et sikkerhetshull?

 

Det stemmer nok det. Juridisk sett er det faktisk ikke lov til å "benytte" seg av åpen dør, man har formelt sett begått innbrudd.

[digimator]

Er det noen som vet hva loven faktisk sier her?

 

Dersom du ser et hus som har en åpen dør, og du går inn, tar med deg TV-en, blir du vel politianmeldt, selv om døren var åpen? (Forsikringselvskapene har nok en annen mening, men dem om det).

Er det da ikke det samme her? Selv om du ser at det er en åpning inn i systemet har du ikke lov til å logge deg inn dersom du skjønner at det er et sikkerhetshull?

 

Nei, det er ikkje det same her. Som det står i artikkelen: "Jeg har kikket i HTML-koden på siden. Jeg har ikke vært inne i systemet deres på noen måte. "

[Locrin]

Herregud for en dildo representanten for KMD er.

Her er et utdrag fra den danske kilden: 

----------------------------------------------------------------------------

Han er ikke inde i jeres system - han bruger et ajax-kald?

»Og så sætter han et script ind….«

Scriptet er på hans egen computer, ikke inde i jeres system?

»Via det script får han adgang til flere informationer, end du og jeg ville kunne få adgang til.«

Han kunne stadig putte numre ind manuelt?

»Vi betragter det, der er sket, som hacking, og det er derfor, vi har anmeldt ham til politiet.«

Hans pointe er, at han ikke behøvede noget script, han kunne bare indtaste et, to, tre, fire numre...?

»Det er korrekt, at når man indtaster et gyldigt cpr.-nr i feltet, så kan man få et navn ud.«

 

https://www.version2.dk/artikel/direktoer-kmd-direktoer-var-naturligt-os-at-kontakte-vedkommendes-arbejdsplads-1077587

 

 

------------------------------

Absolutt verdt å lese hele.

Endret 16. juni 2017 av Locrin

[BjartmarO]

 

Er det noen som vet hva loven faktisk sier her?

 

Dersom du ser et hus som har en åpen dør, og du går inn, tar med deg TV-en, blir du vel politianmeldt, selv om døren var åpen? (Forsikringselvskapene har nok en annen mening, men dem om det).

Er det da ikke det samme her? Selv om du ser at det er en åpning inn i systemet har du ikke lov til å logge deg inn dersom du skjønner at det er et sikkerhetshull?

 

Kan vel mer sammenlignes med at du ser et hus med en åpen dør, går inn, iog slenger deg i sofaen for å se på TV'en.

Det blir en slags liten forvrengning, Børt. Riktigere er vel at du går inn i gangen på huset, ikke for å slenge deg nedpå eller for å stjele noe, men for å sjekke om det virkelig er et problem at døren står åpen. Kanskje er eieren like i nærheten? Eller kanskje finnes det en annen dør like innenfor, som er låst?

 

Så lenge det bare er dette du gjør, så bør det være greit mener jeg...

 

Om du derimot tar deg inn i stuen, sjekker skuffene etter sølvtøy, og så ringer eier om at "sølvtøyet i skuffene på stuen hans muligens er kompromitert", så har du trolig gått et steg eller to for langt igjen.

 

Så, det er vel en slags liten balansegang dette, vil jeg tro...

[blablaukeblad]

Og folk lurer på hvorfor jeg kaller meg John Doe ..

[Nobunaga]

Så hva skal nestemann som finner et sikkerhetshull hos KMD gjøre?

a) Gjøre dem oppmerksomme på det og bli politianmeldt?

b) Holde kjeft?

c) Poste det på 4Chan for the lulz?

 

Med denne typen håndtering vil jeg tro at gruppen som velger alternativ c) neste gang har steget betraktelig. Well played KMD!

[Carpe Dam]

Du glemte

d) selge til høystbydende

[Y4BNH49Z]

KMD: IT med innsikt

 

Kanskje gjøre noe med det slagordet..

[joppzter]

..

Snubler jeg over tilsvarende idag så lar jeg være å varsle om det - åpenbart fordi jeg ikke vet hvordan et tilfeldig selskap kan finne på å reagere hvis de ikke har en publisert policy på det. Ikke at jeg gjør slikt lenger.

 

Dette er jo overhode ikke bra. Noe sier meg at det burde finnes et nasjonalt organ som kunne tatt i mot slike bekymringmeldinger og ført saken anonymt inn mot selskapet. I tilfeller som med KMD så bør jo det være av interesse for de som har kontroll på cybersikkerheten til Danmark.