Gapende sikkerhetshull i norsk nettbutikk

Expert-kjedens nettbutikk Best-Buy.com har de siste ukene hatt et gapende sikkerhetshull. Senest igår kveld kunne man gå rett inn og stenge hele nettsiden, hvis man ville.

Da digitoday fikk tipset tirsdag kveld, var det bare å skrive inn en bestemt rekke med bokstaver og tegn i nettleserens adressefelt, dermed lå kjernefilene i webserveren og databaseserveren åpne for all verden.

Selskapet installerte sin nyeste nettbutikk-løsning for få uker siden, og har slurvet med sikkerheten i den forbindelse. Sikkerhetshullet har vært kjent siden februar i år, og digitoday ledet selskapet til den Microsoft-siden som inneholder feilfiksen.

- Det er ingen tvil om at dette er alvorlig. Jeg skal melde det opp øyeblikkelig, sier Tom Larssen når han blir gjort oppmerksom på problemene.

Larssen er direktør for forretningsutvikling og IT i Expert-kjeden, som er morselskapet til Best Buy.

Sikkerhetshullet består av en feil i Microsoft Index Server. Feilen kan utnyttes på enhver nettside som kjører Internet Information Server 4 eller 5, ifølge sikkerhetsselskapet Cerebrus , som oppdaget 'null.htw'-feilen.

Hullet lar en datasnok se kilden til ASP-filer som for eksempel Global.asa, som inneholder brukernavn, passord samt databasenavn - som alle er nyttige for den som ønsker å bryte seg inn på et nettverk.

Da digitoday snakket med tipseren tirsdag kveld, hadde Best Buy nylig fjernet netlogon-boksen fra web-en. Denne boksen gjorde det mulig å logge seg på selskapets databaseserver, med administratorrettigheter. Dette var mulig fordi brukernavn og passord var satt til standardverdier som leveres med databaseprogramvaren, i tillegg til at både brukernavn og passord lå åpent tilgjengelig i Global.asa-filen.

- Disse folkene tar kaka i sikkerhet, mener jeg. Og da jeg ringte og sa fra, slengte de røret i trynet på meg, sier tipseren som til daglig jobber med datasikkerhet, drift og design i et større norsk Internett-selskap. Han sier han kunne ha snust opp alle kundedata på serveren hvis han ville.

- Og selv om de fjerner netlogon så er det utallige muligheter for å ta seg inn på serveren, sier han til digitoday.

- Vi trodde vi hadde fikset alle hullene i systemet vårt. Heldigvis har vi ikke kredittkortnummer eller lignende liggende noe sted, men det hadde jo vært mulig å hente ut endel kundedata fra loggene, for eksempel, sier daglig leder i Best Buy, Harald Kinck.

Han sier selskapet skal gjennomgå sine sikkerhetsrutiner for å unngå lignende situasjoner, og innrømmer at om noen hadde ønsket å skade bedriften midt i julehandelen, så hadde de hatt muligheter til det ved å utnytte dette hullet.

- De kunne ha stoppet butikkdriften totalt, sier Kinck, som også vil sørge for at folk som ringer for å advare om sikkerhetsfeil slipper å få negative tilbakemeldinger.

Til toppen