E-postbrukerne var synlige for alle

Ved å legge "sessionstatus.jsp" til adressen til e-posttjenesten Organizer.net, fikk digi.no opp en oversikt over alle innloggede brukere. Sikkerhetshullet er nå fjernet.

Organizer.net er en tjeneste som gjør at du kan hente e-post fra din egen postkasse fra enhver datamaskin med Internett-tilknytning. Du går inn på Organizer.net, logger deg på med brukernavn og passord, og får tilgang til postkassen som om du var på ditt eget lokalnett.

Organizer.net garanterer full diskresjon. I forbindelse med en sak angående sikkerhet hos et annet firma, dukket det opp et spor som tydet på at også Organizer.net ikke var så tett som man kunne ønske. Ved å legge "sessionstatus.jsp" etter tjenestens URL fikk vi en oversikt over innloggede brukere, med vanlig e-postadresse, tidspunkt for innlogging, IP-adresse ved innlogging og så videre.

Det var ingen direkte lenke fra Organizer.nets vanlige sider til brukerloggen. Men det er ingen heksekunst å komme på "sessionstatus.jsp" når tjenestens URL viser at det kjøres som "Java Server Page", hvis man er opptatt av å sjekke andres sikkerhet eller er nysgjerrig av andre grunner.

Hos Organizer.net fikk man hakeslepp da digi.no konfronterte dem med forholdet.

Ti minutter seinere ga "sessionstatus.jsp" meldingen "Empty".

Etter det digi.no forstår har ikke hullet vært der lenge, men oppsto nylig da rutinen sviktet ved en oppgradering. Lærdommen er enkel: Små glipp kan få de beste til å revne.

Les mer om Organizer.net:


Organizer forbereder sommer-offensiv
Organizer hopper til Sverige
Fra Opera til Organizer
Vil bli Europas svar på Hotmail
Tom Hauge skal lede Organizer.net

Til toppen