mboost-dp1

SXC - flaivoloka

Teatergængeres data frit tilgængelige i 8 måneder

- Via Version2 - , redigeret af Pernicious

Hvis du er en af de 222.939 personer, der i det seneste års tid har besøgt Det Kongelige Teater og bestilt din billet over nettet, så kan dine data have været tilgængelige på nettet igennem de sidste 8 måneder, det skriver Version2.

En Version2-læser og teatergænger havde fortalt Version2 om problemet. Den anonyme Version2-læser undrede sig over, at han modtog spam på en e-mail-adresse, han havde oprettet til formålet “billetnet@[læserensdomæne].dk”

Version2-læseren mistænker først BilletNet for sikkerhedsbrudet, det viser sig dog, at de ikke har noget at gøre med det.

Efter en Google-søgning på e-mail-adressen finder læseren adressen på en norsk FTP-server under domænet www.teaterbillett.no i en tekstfil indenholdende store mængder af data, hvor læseren kunne konstatere, at mange af dataene i filen tilhørte danskere.

Fejlen er sket i forbindelse med et skift fra BilletNet til billetplatformen Enta, der leveres af Galathea STS. Galathea STS leverer også samme platform til det norske www.teaterbillett.no.

Den juridiske chef i Det Kongelige Teater, Anna-Kathrine Olsen, oplyser, de er i gang med at undersøge sagen internt, men at de ikke har nogen kommentar til sagen lige nu.

På forsiden af hjemmesiden www.teaterbillett.no fandt Version2 dog en e-mail-adresse på it-konsulenten Erik Husemoen, som de gjorde opmærksom på problemet. Erik Husemoen påtog sig personligt skylden for fejlen og fjernede adgangen til dataene omgående.

Erik Husemoen forklarer, at praksis ikke er blevet overholdt, og at tekstfilen med kundernes data er blevet lagt på den åbne del af FTP-serveren. Han vurderer, at dataene har været eksponeret siden 25. marts i år, men at de kun har været i Googles indeks i et par måneder.

Sagen er anmeldt til Datatilsynet.





Gå til bund
Gravatar #1 - Flexo82
18. nov. 2010 09:39
Saa er det vidst nu der skal gives kvajebajer
Gravatar #2 - maeriksen
18. nov. 2010 09:52
"Erik Husemoen påtog sig personligt skylden for fejlen og fjernede adgangen til dataene omgående."

+1 point i min bog lige der.
Gravatar #3 - gensplejs
18. nov. 2010 09:57
maeriksen (2) skrev:
"Erik Husemoen påtog sig personligt skylden for fejlen og fjernede adgangen til dataene omgående."

+1 point i min bog lige der.

enig.
Gravatar #4 - el_barto
18. nov. 2010 10:02
Men...hvordan er filen havnet i Googles index? Der må være nogen der har fundet den og linket til den...
Gravatar #5 - telepop
18. nov. 2010 10:07
maeriksen (2) skrev:
"Erik Husemoen påtog sig personligt skylden for fejlen og fjernede adgangen til dataene omgående."

+1 point i min bog lige der.


Lige min tanke :)
Gravatar #6 - syska
18. nov. 2010 10:08
#4
Google er gud og ved alt ...

Linket skal jo kun være postet en gang for at det så senere bliver crawlet ...



maeriksen (2) skrev:
"Erik Husemoen påtog sig personligt skylden for fejlen og fjernede adgangen til dataene omgående."

+1 point i min bog lige der.


Det kunne danskere fandeme lære noget af ... tag dog ansvar ASAP, de fleste indrømmer alligevel senere det var deres skyld.

mvh
Gravatar #7 - donDjango
18. nov. 2010 10:13
Gravatar #8 - Windcape
18. nov. 2010 10:19
Så er det jo at håbe at Erik Husemoen ikke bor i Danmark.

... og hvorfor fanden blev der brugt en plaintext fil?
Gravatar #9 - h8x0r
18. nov. 2010 10:28
Jeg har ikke gjort noget så jeg har ikke noget at skjule!!!!

Nå det var i det mindste ikke en efterretnings medarbejder der havde glemt en usb stick / bærbar /CD /mappe med folks personlige oplysninger denne gang.
Gravatar #10 - LordMike
18. nov. 2010 10:57
#4.. der er vel en med gmail der har fundet den, og sendt det :P
Gravatar #11 - Ronson ⅍
18. nov. 2010 11:26
Hvordan skulle en fil sendt i en mail havne i googles index med rette url?
Gravatar #12 - fidomuh
18. nov. 2010 11:59
#8

Plaintext roxx0rz!11!!!!

Jeg er ogsaa godt og gedigent skraemt over folks brug af plaintext filer til bare medium-stoerrelse data. SAa svaert er det sgu ikke at bruge SQLite -.-
Gravatar #13 - knasknaz
18. nov. 2010 12:07
Anonymous FTP den nye leet haxx0r stil.
Gravatar #14 - Chaser
18. nov. 2010 12:23
lol... der er stadig adgang til ftp'en
og manualen til styring af deres system...
ftp://ftp.teaterbillett.no/Public/

Mon man skulle ringe til dem og spørge om hvor meget de vil betale for en ordentlig sysadm. :D
Gravatar #15 - luuuuu
18. nov. 2010 12:29
el_barto (4) skrev:
Men...hvordan er filen havnet i Googles index? Der må være nogen der har fundet den og linket til den...


Næee... Man behøver sådan set bare at linke til en mappe eller en anden fil på ftp serveren.

Så kravler google selv rundt og snuser til alt andet der nu end ligger frit tilgængeligt.
Gravatar #16 - CableCat
18. nov. 2010 14:22
Ligene fejl har jeg opdaget Lego, DVDland og Newz lave. Jeg gør det nu ikke til en stor nyhed. I stedet kontaktede jeg dem, og gjorde dem opmærksom på det.

Det er så nemt at opdage når man bruge en uniq email hver gang man give en "sin" email.
Gravatar #17 - rmariboe
18. nov. 2010 21:19
Chaser (14) skrev:
lol... der er stadig adgang til ftp'en
og manualen til styring af deres system...
ftp://ftp.teaterbillett.no/Public/

Ikke længere :)
Gravatar #18 - arne_v
18. nov. 2010 22:57
#plaintext vs DB

Sikkerhedsmæssigt gør det ikke den store forskel om det er det ene eller det andet.

Og om DB er smartere må jo afhænge lidt af hvordan de data skal bruges.
Gravatar #19 - syska
19. nov. 2010 00:16
arne_v (18) skrev:
#plaintext vs DB

Sikkerhedsmæssigt gør det ikke den store forskel om det er det ene eller det andet.

Og om DB er smartere må jo afhænge lidt af hvordan de data skal bruges.


Enig, det lyd som en udveksling af data mellem 2 afdelinger, og så er text sq da nemmest.

Kan ikke rigtig se andre muligehder.

mvh
Gravatar #20 - Windcape
19. nov. 2010 00:33
arne_v (18) skrev:
Sikkerhedsmæssigt gør det ikke den store forskel om det er det ene eller det andet.
Udover at det er noget nemmere at hente, og/eller indexere en plaintext fil på en FTP server, end at lave SQL injection!
Gravatar #21 - Windcape
19. nov. 2010 00:34
syska (19) skrev:
Kan ikke rigtig se andre muligehder.
Men i forhold til datatilsynets regler, skal det jo sendes krypteret, eller på et fysisk medium.

Denne her slags fejl burde ikke kunne ske med bare lidt sund fornuft.
Gravatar #22 - arne_v
19. nov. 2010 01:30
#20

Nu blander du jo ting sammen.

Adgangen og formatet.

Der er ikke meget mere sikkerhed i en SQLite database der kan hentes med FTP fremfor en plain text fil der kan hentes med FTP.

Der er ikke meget mere sikkerhed i en SQLite database der ikke kan hentes med FTP fremfor en plain text fil der ikke kan hentes med FTP.

Der er meget mere sikkerhed i en SQLite database der ikke kan hentes med FTP fremfor en plain text fil der kan hentes med FTP.

Der er meget mindre sikkerhed i en SQLite database der kan hentes med FTP fremfor en plain text fil der ikke kan hentes med FTP.

Det er adgangen der er problemet ikke formatet.
Gravatar #23 - Windcape
19. nov. 2010 02:20
#22

Men standardrettighederne på en RDBMS server er typisk højere end hvad man oplever med en ftp server og en plaintext fil.

Det var sådan pointen.
Gravatar #24 - arne_v
19. nov. 2010 02:26
#23

Umiddelbart vil jeg da vurdere at adgangen til en plainetext fil med strenge fortrolige oplysninger er mere begrænset end adgangen til en database server.

Den slags filer opbevares normalt i et dir hvor der ikke er public access til mens en database server er sat op til at servicere nogle klienter.

At sammenligne det konkrete tilfælde hvor filen ligger på offentlig FTP server med en normal database setup viser kun forskellen på beskyttelsen ikke forskellen i formatet.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login