Gå til innhold

16. mai ble det full kriseberedskap i Evry etter datalekkasje. Rotårsaken kan påvirke alle norske selskaper


Anbefalte innlegg

Videoannonse
Annonse

Dette må offera ta ansvar for sjølve. Ved å bruke Edge, godtek jo brukarane at dei sender URLane til Microsoft, som kan bruke informasjonen dei innhentar til kva dei vil. Inkludert alt dei tastar inn i skjema på nett. Dette er informasjon som bukarane eksplisitt har gjeve Microsoft lov til å bruke gjennom personvernavtala til Microsoft.

  • Liker 2
Lenke til kommentar

Eg forstår ikkje artikkelen, kva er det egentleg Edge gjer her?

 

Jeg tror (?) at edge gir info fra beskyttede sider over til bing når brukere aksesserer disse sidene med edge. Om ikke så ser jeg ikke helt hvorfor det er edge som er problemet.

 

AtW

  • Liker 1
Lenke til kommentar

Hvis det ikke er edge, hvordan finner så bing fram til disse maskingenererte adressene som forhåpentligvis ikke er linket til noe sted (evt. bortsett fra i en epost eller noe som krever innlogging/autentisering) ?

Endret av HawP
Lenke til kommentar

Hvis det ikke er edge, hvordan finner så bing fram til disse maskingenererte adressene som forhåpentligvis ikke er linket til noe sted, evt. bortsett fra i en epost eller noe som krever innlogging/autentisering?

 

Sjølvsagt er det Edge. Personvernvilkåra til Microsoft seier at dei samlar inn URLen til alle nettsider du ser på, alle tastetrykk osb. Ved å godkjenne vilkåra, har brukaren godkjent at Microsoft gjer dette, og sjølvsagt gjer dei det. Både nettsidene du vitjar og pploggingsinformasjonen er jo gull verd for Microsoft.
Lenke til kommentar

En ting er å se på dette som en edge -> bing ting, men man bør også se på dette i lys av den større trenden. Vi er på vei mot at hver lyspære og dørlås skal være koblet til ditt smarthus, ditt smarthus skal være tilgjengelig fra din smarttelefon, og sammen skal man skape bedre, mer intelligente tjenester. Man utvikler AI-løsninger og enten man velger Google, Microsoft eller noen andre, er man i ferd med å utvikle en personlig cloud for hver person. Denne går langt utenfor det man tidligere la ut på internett, men viktigere, man har liten eller ingen kontroll på hva som lastes ut i din personlige cloud.

 

Jeg selv fikk en liten aha-opplevelse da jeg startet opp et nytt Windows nettbrett, la til hotmail-kontoen min, og plutselig fikk bakgrunnsbildet fra min stasjonærPC på det nye nettbrettet. For å ikke snakke om da jeg koblet til en ny mobiltelefon og automatisk hadde tilgang til alle WiFi-passordene fra min gamle. Alt dette er jo ting man har sagt ja til, men man vet ikke det og man merker ikke det når ting legges til.

 

Enten det er bakgrunnsbildet av ungene dine som lastes opp, filindekseringen på PCen din som deles med bing, passordene på trådløsnettene som lastes opp i dekrypterbar form, eller noe annet.

 

Vi vet fra før av at Google Map-bilen scannet og indekserte alle trådløse nettverk når den kjørte forbi. Kombinér det med viten at de også har tilgang til passordene på disse...

 

Din personlige AI, din personlige Cloud, dine personlige løsninger som vil hjelpe deg mye mer effektivt enn i dag. Husk på, husk alltid på, at de er ikke egentlig dine.

  • Liker 7
Lenke til kommentar

Klarer Bing på mirakuløst vist å autentisere mot lukkede systemer for så å indeksere dem? Eller har det seg sånn at noen stoler for mye på robots.txt. "Kan de være så meget snill å ikke indeksere dette"?

  • Liker 1
Lenke til kommentar

Klarer Bing på mirakuløst vist å autentisere mot lukkede systemer for så å indeksere dem? Eller har det seg sånn at noen stoler for mye på robots.txt. "Kan de være så meget snill å ikke indeksere dette"?

 

Det er ingen mirakel inne i biletet her. Uansvarlege brukarar har brukt ein nettlesar frå Microsoft til å sjå på desse URLane, og har dermed gjeve Microsoft lov til å indeksere dei, jfr personvernvilkåra til Microsoft. (Som i praksis seier med veldig mange ord at du fråseier deg all rett til personvern når du brukar Microsoft-produkt.)
  • Liker 1
Lenke til kommentar
Gjest Slettet-Pqy3rC

Eller har det seg sånn at noen stoler for mye på robots.txt. "Kan de være så meget snill å ikke indeksere dette"?

Det må jo være noe sånt. Dvs. at ting har ligget pip åpent lenge, det har bare ikke blitt indeksert tidligere.

Klarer Bing på mirakuløst vist å autentisere mot lukkede systemer for så å indeksere dem?

Tji-hi, ... MicroSoft har ved et uhell benyttet NSA versjonen av Bing.
Lenke til kommentar

Jeg kan ikke si jeg helt forstår hva som har skjedd her.

Sender Edge innholdet av en web-side (som evn. inneholder sensitiv informasjon) til bing for indeksering, eller sender den bare url'en som brukeren besøker? Hvis det er det første så er det jo en total skandale og edge bør ikke lenger brukes av noen.

Hvis det er det andre, at edge sender url'en som brukeren besøker til bing for indeksering, så skal vel ikke det ha noe å si sålenge det kreves autentisering for å få se innholdet.

Hvis det derimot ikke kreves autentisering for å se innholdet, men man baserer seg på at url'en er maskingenerert, og derfor "vanskelig" å lese (for mennesker) så har man basert seg på "security-by-obscurity" og det er en nesten like stor skandale.

 

Ett annet alternativ er at artikkelen er unøyaktig/ufullstendig og at jeg har missforstått alt sammen.

  • Liker 4
Lenke til kommentar

Med en enkel «site:»-kommando dukket det opp 25 400 søkeresultater på et fakturahotell som tilhører den norske IT-giganten i søkemotoren Bing

 

 

Kanskje dere bør gjøre en oppfølgingssak eller flere. Bing er ikke de eneste som kan gjøre site:-søk på norske organisasjoner, og Sparebank1 er ikke de eneste som bør se over hva som er tilgjengelig over nett. 

 

For eksempel tror jeg man finner mer enn man bør på google-søket site:nif.no GetAttachment faktura

  • Liker 6
Lenke til kommentar

Full kriseberedskap i Evry betyr vel at de sendte tre eposter til India, i stedet for én ?

 

Forøvrig kan man ikke skylde på andre enn seg selv når sensitive opplysninger ligger åpent på nett, noe de må ha gjort for at en søkemotor skal kunne indeksere å vise informasjonen til alle og enhver.

 

Det at man maskin-generer url'er som ikke er beskyttet av samme innlogging som resten, tyder på "epic fail", noe som ikke er overraskende når det kommer til Evry.

  • Liker 5
Lenke til kommentar
Hvis det derimot ikke kreves autentisering for å se innholdet, men man baserer seg på at url'en er maskingenerert, og derfor "vanskelig" å lese (for mennesker) så har man basert seg på "security-by-obscurity" og det er en nesten like stor skandale.

Jeg er ikke enig. Det er ikke noen fundamental forskjell på å ha sikkerhet ved å ha session id i urlen og å ha session id i en cookie. Det er like enkelt/vanskelig å bryte seg inn rent regnemessig sett, så lenge session id er like lang. Forskjellen er bare at det er enklere å gi bort en url med session id i ved et uhell.

 

Videre, en maskingenerert url er ikke lettere å finne enn en url med session id, forutsatt samme lengde. Dette skal dermed være like sikkert som en "vanlig" innlogging.

 

En forskjell er at session id ofte er satt til å utløpe innen rimelig tid.

  • Liker 3
Lenke til kommentar

 

Videre, en maskingenerert url er ikke lettere å finne enn en url med session id, forutsatt samme lengde. Dette skal dermed være like sikkert som en "vanlig" innlogging.

 

En forskjell er at session id ofte er satt til å utløpe innen rimelig tid.

 

 

Den store forskjellen er jo nettopp at en session utløper, og at den ikke umiddelbart kan hijackes av andre, slik som en robot fra en søkemotor, det er jo hele poenget, å sikre at brukeren er innlogget uten å be om innloggingsdetaljer for hver sidelasting. 

 

Hadde man brukt session, enten nøkkelen er lagret i cookies, url, localstorage eller andre steder, så hadde man ikke hatt dette problemet.

 

Problemet har sannsynligvis oppstått nettopp fordi Evry har satset på "security by obscurity", å trodd at maskingenererte lenker som ikke er beskyttet på annet vis er sikre.

Endret av adeneo
  • Liker 6
Lenke til kommentar

 

Hvis det derimot ikke kreves autentisering for å se innholdet, men man baserer seg på at url'en er maskingenerert, og derfor "vanskelig" å lese (for mennesker) så har man basert seg på "security-by-obscurity" og det er en nesten like stor skandale.

Jeg er ikke enig. Det er ikke noen fundamental forskjell på å ha sikkerhet ved å ha session id i urlen og å ha session id i en cookie. Det er like enkelt/vanskelig å bryte seg inn rent regnemessig sett, så lenge session id er like lang. Forskjellen er bare at det er enklere å gi bort en url med session id i ved et uhell.

 

Videre, en maskingenerert url er ikke lettere å finne enn en url med session id, forutsatt samme lengde. Dette skal dermed være like sikkert som en "vanlig" innlogging.

 

En forskjell er at session id ofte er satt til å utløpe innen rimelig tid.

Jeg jobber ikke med web til daglig og satte døra på gløtt for at det var noe jeg hadde misforstått.

Men betyr dette at Edge/Bing driver en form for session-hijacking?

Lenke til kommentar

Den store forskjellen er jo nettopp at en session utløper, og at den ikke umiddelbart kan hijackes av andre, slik som en robot fra en søkemotor, det er jo hele poenget, å sikre at brukeren er innlogget uten å be om innloggingsdetaljer for hver sidelasting. 

 

Hadde man brukt session, enten nøkkelen er lagret i cookies, url, localstorage eller andre steder, så hadde man ikke hatt dette problemet.

Berre delvis. Haugevis av nettstadar har veldig lang levetid for sesjonsnøkkelen, og Microsoft samlar inn den òg. Til og med brukarnamn og passord, so dei kan alltids la roboten logge inn som deg (men det kan vere i strid med vilkåra for nettstaden).

 

Du kan la vere å akseptere å akseptere desse vilkåra, og la vere å bruke Microsoft-produkt, men so lenge du brukar Microsoft-produkt er det viktig å vere klår over at du har fråsagt deg all rett til personvern.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...