mboost-dp1

Sonofon A/S

Stort sikkerhedshul i Sonofon julespil

- Via Computerworld - , redigeret af Pernicious

Sonofon har med deres nye julespil “Sonofonhuset” givet folk med skumle bagtanker frit spil med de personoplysninger, som deltagerne vælger at indtaste i spillet på Sonofons hjemmeside.

Sonofon har valgt at benytte en service fra Titoon-Asia, der har servere i Kuala Lumpur, servere der står pivåbne over for brugere, der ønsker at se eller redigere i kildekoden på serveren. Dermed er der også adgang for potentielle skadelige handlinger på serveren og specielt over for de brugere, der benytter sig af spillet.

Hos sikkerhedsfirmat Csis er man chokeret over den manglende sikkerhed.

Peter Kruse, Csis skrev:
Det er fuldstændig piv-hamrende åbent. Der er intet brugernavn og password […] Du kan snyde på alle måder. Du kan ændre level, hvad du opnår af point, du kan ændre hvor data bliver sendt hen og oven i købet indholdet af data.

Sonofon har endnu ikke udtalt sig om sagen, men serveren er nu blevet beskyttet med adgangskode og login, ligesom selve spillet er fjernet fra Sonofons hjemmeside.





Gå til bund
Gravatar #1 - LordMike
11. dec. 2008 08:15
Er det i første omgang ikke vildt upraktisk med servere i Malaysia?...

Der må da være en syg latency... :|
Gravatar #2 - gnаrfsan
11. dec. 2008 08:17
"Vind 100.000 kroner og få virus på din computer og dine personoplysninger udstillet på en pivåben server i Kuala Lumpur."
-Computer World

No pain, no gain.

Men hold da kæft hvor er det dumt. jeg fatter ikke at de ikke tænker længere. Man kan ikke sætte enhver praktikant til at håndtere sikkerhed.
Gravatar #3 - cyandk
11. dec. 2008 08:17
LordMike (1) skrev:
Er det i første omgang ikke vildt upraktisk med servere i Malaysia?...

Der må da være en syg latency... :|


Det er billigt og der tales jo nok om et java spil, så latency = ligegyldigt.
Gravatar #4 - LordMike
11. dec. 2008 08:35
I see... :/

Nåh.. Men stadigt dumt :P

De kodede vel vha. ftp, og så var det vel nemmere at gøre det uden beskyttelse... At de så kodede direkte på produktions serveren, ja...
Gravatar #5 - Glædelig Jul!!
11. dec. 2008 09:24
Ser ud til de arbejder på det.
http://www.sonofon.dk/privat/julespil/
Gravatar #6 - joachimnb
11. dec. 2008 10:57
Det kan da kun være Sonofon selv der har skumle bagtanker. Har da aldrig oplevet noget menneske eller firma ringe så mange gange til mig adskillige uger og dage i træk og tigge, bare fordi jeg indtastede personoplysninger for at få lov til at se 5 minutters hakkende web tv EM håndbold :D? FAT, jeg ville IKKE have jeres abonnement, slet ikke nu hvor i ringer og forstyrrer mig konstant!
Gravatar #7 - RKJ
11. dec. 2008 11:10
Det må vel være det man kalder en OM'er.
Gravatar #8 - Zeales
11. dec. 2008 13:20
Ufatteligt de ikke nævner det på siden at spillernes data har været udsat for dette.
Gravatar #9 - jonashn
11. dec. 2008 14:47
cyandk (3) skrev:
LordMike (1) skrev:
Er det i første omgang ikke vildt upraktisk med servere i Malaysia?...

Der må da være en syg latency... :|


Det er billigt og der tales jo nok om et java spil, så latency = ligegyldigt.


..eller flash, som er bedre båndbreddemæssigt (p.g.a. vektorgrafik).

Og latency er virkelig ikke et problem på nettet, hvis serverne har ordentlige pipelines er routerne rund om jorden så fantastisk hurtige at det faktisk ikke kan mærkes om en server er i DK eller Malaysia..
Gravatar #10 - rmariboe
11. dec. 2008 18:23
#9 << Du har tydeligvis aldrig gamet på en oversøs server :)
Selv hvis du trak ét langt fiberkabel i fugleflugtslinie hele vejen til Malaysia og kunne undvære repeaters, ville latency være over 50ms (s/c = 16000 km/300000 km/s > 50 ms). Læg som absolut minimum 1 ms pr. knudepunkt, langsommere koberlinier, ADSL lag og at serverne ikke svarer momentant (de har jo travlt med at servicere alle dem, der liige skal ind at rode uden password:) til det tal, og du er allerede seriøst forbi de 100 ms. Selv afvigelsen mellem USAs øst- og vestkyst er et godt stykke på den forkerte side af 50 ms.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login