Avslørte sikkerhetsbrist hos dansk IT-gigant. De svarte med å anmelde ham for hacking

[Nobunaga]

 

..

Snubler jeg over tilsvarende idag så lar jeg være å varsle om det - åpenbart fordi jeg ikke vet hvordan et tilfeldig selskap kan finne på å reagere hvis de ikke har en publisert policy på det. Ikke at jeg gjør slikt lenger.

Dette er jo overhode ikke bra. Noe sier meg at det burde finnes et nasjonalt organ som kunne tatt i mot slike bekymringmeldinger og ført saken anonymt inn mot selskapet. I tilfeller som med KMD så bør jo det være av interesse for de som har kontroll på cybersikkerheten til Danmark.

 

 

 

Du kan jo bare tipse (evnt anonymt) til digi.no eller en annen nyhetsredaksjon. De er veldig glade for slikt og beskytter kildene sine. Det er jo egentlig helt på trynet – men når slike stjerneklovner som KMD reagerer med politianmeldelse er det i hvert fall tryggere.

 

 

.

Endret 16. juni 2017 av Nobunaga

[0laf]

Vent litt ....

 

En fyr som jobber i Netcompany, en av de største konkurrentene til KMD, finner "tilfeldigvis" en feil i systemet til konkurrenten som gjør at personnummer kan benyttes til å slå opp navn.

 

Dette i en tjeneste han må logge inn i med sin danske nemID for å få tilgang.

 

Han skriver så et script som henter ut en hel haug med personnummer og navn, for å "konstatere" at det finnes en åpning, noe han filmer, inkludert navn og personnummer på tilfeldige personer.

 

Han begynner med å hente ned alle personer som er født på en viss dato, å forsøker til og med å finne personnummeret til statsministeren ut i fra fødselsdatoen ved å forsøke alle kombinasjoner å sjekke navnene osv.

 

Neste trekk er å kontakte en av kommunene som benytter tjenesten, deretter kontakter han mediene direkte, å oversender videoen.

Kommunen kontakter derimot leverandører, KMD, men beskrivelsen av feilen er ikke riktig, de finner ingen feil i det systemet som oppgis.

 

Når KMD finner ut av dette, å finner feilen, som ligger i et annet system enn det kommunen har oppgitt, sjekker de samtidig loggene sine, samt ser på videoen denne fyren har sent til mediene, at vedkommende har hentet ut store mengder data han ikke burde hatt tilgang til.

 

En IT-kyndig som er ansatt hos konkurrenten har altså funnet en sårbarhet, men i stedet for å stanse der, å kontakte selskapet, har vedkommende først og fremst fortsatt å hente ned store mengder data fra sårbarheten, deretter kontaktet kundene, i dette tilfellet kommunen som bruker systemet, å så mediene, i stedet for å kontakte KMD direkte, som han visste sto bak løsningen.

 

Hvorvidt det er hacking eller ikke kommer an på øyet som ser, men en normal varsling av en sårbarhet, er det helt klart ikke.

[Frobe]

Neste trekk er å kontakte en av kommunene som benytter tjenesten,

Som tilfeldigvis er kommunen han bor i, og der han er nødt til å bruke denne tjenesten fra KMD.

[0laf]

Som tilfeldigvis er kommunen han bor i, og der han er nødt til å bruke denne tjenesten fra KMD.

 

Som han fremdeles henter ned tusenvis av navn og personnummer fra, når han oppdaget at det er en feil i systemet.