[Clarence]

http://www.vader.se (den såvitt jag kan se det näst största svenska leverantören av väderprognoser) och http://www.hotell.se (en av de största svenska hotellguiderna) hade tills i förmiddags helt öppna administrationssystem.

Vem som helst kunde gå in och ändra omröstningar, tävlingar eller texter på vader.se eller göra ändringar direkt mot databasen på hotell.se, utan att ens inneha HTML-kunskap.

[Clarence]

Tidig morgon idag, den 29e september, fick jag en URL framför mig som jag av en sorts halvautomatik klickade på.

Denna URL gick till ett administrationssystem som låg helt öppet utan någon som helst säkerhetsanordning. Bland annat kunde man därifrån editera www.vader.se och www.hotell.se Tillsammans verkar de ha en trafik större än t ex Canal Plus (canalplus.se)

Barmhärtig samarit som man är ringde jag ansvarigt företag inte långt efter att deras telefoner bemannades, så att de skulle ta hand om problemet innan adressen som säkert redan hade spridits en bra bit, skulle spridas till någon med onda avsikter.

Först möttes jag av en kvinnlig supportanställd varpå man i konversationen kunde höra något snarlikt nedanstående.

Citat:

- 'Jo, jag skulle bara säga att ni har ett helt öppet administrationssystem på *censur* vilket bör tas bort innan något händer.
- 'Vem är du? Försöker du sälja något?'
- 'Nej, jag skulle bara informera om detta så inget onödigt händer.'
- 'Men hur tog du dig in i vårat adminsystem?'

Efter en stund till av halvt mot mig anklagande samtal, blir jag vidarekopplad till en annan i personalen vilken tackar och säger att det skall åtgärdas.

Efter ett 3-4 timmar (det var ej åtgärdat efter 1 timme) ser jag att de åtgärdat de öppna administrations-sidorna med, vad jag kan se, ett par tryck på delete-knappen.

Jag informerade dom även vid första samtalet om en öppen katalogstruktur i vilken man kunde ladda ner psd-mallar och mdb-databaser för deras kundprojekt. Där låg även en pdf-fil med ny kontoinformation till en kund, endast 1 månad gammal.

När jag nu 6-7 timmar senare informerar dem om att denna fortfarande ligger uppe får jag svaret att det är en utvecklingsportal utan skarp information. För att försöka få dem att förstå att där ligger känslig information berättade jag om vad som där ligger i cirka 5 minuter. Förhållandevis oövertygad säger han att det är publik information, men att de ska ta en titt på det.

[Clarence]

Tilläggas kan även att ett stort svenskt medium varit i kontakt med dom under dagen. Då hade de, sedan max 3-4 timmar, tagit bort adminsidorna och påstår att 'Nejdå, vi har inget som ligger öppet'.

De hade fortfarande vid den tidpunkten, liksom nu, en öppen trädstruktur i vilken det jag bedömer som mest känsligt vara en PDF-fil med inloggnings-uppgifter för en kunds FTP. Vid senaste kontakten med dom påstår de att de gått igenom denna utvecklings-server och kommit fram till att de inte har något att dölja. Man kan fråga sig vad som är värt att dölja?

Hela förfarandet från deras support, samt den minst sagt grova missen från början känns väldigt dotcom-död för mig.

[Ludvig]

Citat:

Originally posted by cerebus@Sep 29 2003, 16:12
De hade fortfarande vid den tidpunkten, liksom nu, en öppen trädstruktur i vilken det jag bedömer som mest känsligt vara en PDF-fil med inloggnings-uppgifter för en kunds FTP.

Vid senaste kontakten med dom påstår de att de gått igenom denna utvecklings-server och kommit fram till att de inte har något att dölja. Man kan fråga sig vad som är värt att dölja?

Vilket skräckexempel. Att lägga inloggninsuppgifter (för FTP dessutom) i oskyddade publika PDF-filer... :blink:

[Tobias Turesson]

Det flumigaste var att när jag mejlade dem först om att det gick att ändra saker på deras sida med admin systemet bifogade även länken så sa det att det inte gick att ändra eller lägga till information via den admin sidan. Något som är en ren lögn eftersom jag själv flumma runt på den.

Att de ljuger en rent upp i ansiktet när man påpekar att en sak är så känns så dumt, noll respekt för dem.
Ps. Köp aldrig en domän på Internet.se för det är public information med dina personliga uppgifter.

:blink:

[Clarence]

De ljög på precis samma sätt när ett stort svenskt mediabolag var i kontakt med dem. De påstod att det öppna admin-systemet som verkar ha legat där i över 1 år (!) inte alls hade funnits, även fast det bara gått max 2-3 timmar sedan det rättats till.

Jag trodde faktiskt inte själv att admin-systemet var skarpt kopplat mot några sajter då det låg så öppet. För att kontrollera tog jag bort en punkt ('.') på en av de utsatta sidorna, för att sekunden senare ta bort den. Det visade sig självklart att detta var admin-systemet som användes av personalen.

Det kanske värsta var att träd-/katalogstrukturen som låg öppen på deras 'utvecklings-server' utan skarpa kopplingar mot någon domän var varifrån länken till deras adminsystem kom. Där skickade de in sina projektkunder, runt 3 musklick ifrån dessa öppna administrationssystem.

Sen huruvida personliga uppgifter är speciellt mer öppna när man registrerar .se-domän genom internet.se vill jag betvivla. Men jag kan knappast rekommendera att köpa några som helst tjänster av internet.se eller TBA Media AB.

[K-Fluffie]

h34r:

[Ludvig]

Tack för informationen!

Bra att lägga till på sin privata 'svarta lista'.