JUSS OG SAMFUNN

Hemmelig sex-dom lå åpen på Internett

Mange av sakene var ført bak lukkede dører i Oslo Byrett, men på Internett lå de åpent tilgjengelig, med navn og adresse på involverte i blant annet en voldtektssak.

11. okt. 2001 - 15:26

Et sikkerhetshull på Oslo Byretts nettsted gjorde det mulig for hvem som helst å taste seg inn og kikke på konfidensielle domsopplysninger og tiltalebeslutninger.

Blant sakene som lå åpent tilgjengelig, var en sak om grove sex-overgrep, og den inneholdt både navn og adresser, forteller datakonsulent Steinar Taubøll, som oppdaget feilen.

Ved å forandre på tallene i adressefeltet i nettleseren, kunne han gå inn og kikke på den begrensede delen av databasen ved byretten. Denne basen er beregnet på tiltrodde journalister og andre som slipper til gjennom byrettens strenge adgangskontroll. Hullet ble oppdaget ved en tilfeldighet. Siden Netscape ikke viser alle lenkene på siden, prøvde Taubøll seg med litt manuell navigasjon via adressefeltet.

Han kikket på en rekke saker for å forsikre seg om at sikkerhetshullet var virkelig. Flere av dem var ført for lukkede dører, og skulle dermed for enhver pris ikke sluppet ut på Internett.

Taubøll ringte sporenstreks til Oslo Byrett, som sjokkert sendte ham videre til aktøren som leverer og drifter nettløsningen til byretten, KPNQwest.

Aksessleverandøren lappet hullet i full fart.

- De hadde glemt å sette leserrettigheter, og jeg mener de tok en sjanse ved å legge "public" og "restricted" i samme directory. De fikset det med det samme jeg ringte, men det virket ikke som de tok det så høytidelig, sier Taubøll.

- Dette er en gammel sak - det ble fikset umiddelbart etter at vi ble varslet. Det er akkurat som bank-saken, man kunne manipulere URL-en. Hvis du høyreklikket og åpnet et nytt vindu og endret URL-en - da kunne det skje at du kom inn på en lukket sak, sier administrerende direktør i KPNQwest, Per Brose til digi.no.

Etter å ha fått beskjed om hullet og lappet det, lagde KPN Qwest en "felle", som varslet hver gang noen prøvde å utnytte dette hullet. Ifølge Brose skjedde det én eneste gang på en måned.

- Én gang er selvfølgelig én gang for mye, og det er sterkt beklagelig at det kunne skje, sier han.

Oslo Byrett ser alvorlig på hendelsen, men tror heller ikke det er skjedd noen alvorlig skade på grunn av hullet.

- Vi setter pris på han ringte oss og sa fra om feilen. Vi har hatt ordningen i nærmere fire år, og feilen skjedde i forbindelse med forandringer som ble gjort på sidene. Det er ingenting som tyder på at det er spredd noe informasjon på grunn av dette - men en kunne jo sett for seg et scenario der noen hadde lagt ut informasjon fra for eksempel en lukket rettsak på sine nettsider, og det er alvorlig, sier konstituert justitiarius Lise Lena Kjønstad ved Oslo Byrett.

Hun mener de nå har sikret sidene, og håper ikke slike hendelser vil føre til at de må endre på de tjenestene de tilbyr til pressen.

- Ordningen har fungert godt i denne tiden, og vi forutsetter at dette har vært et engangstilfelle. Vi ser svært alvorlig på det som har skjedd.

Byretten har fått forsikringer fra KPNQWest om at sikkerhetsrutinene nå er lagt om og skjerpet, slik at noe liknende ikke vil skje igjen.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra