Dette sikkerhetshullet bør du tette

Jobbsøkertjenesten Stepstone og mange andre bruker en teknikk som legger nettsidene vidåpne for uvedkommende, demonstrerte en dansk IT-konsulent i går.

Med en oppskrift fra Internett-sidene til det danske sikkerhetskonsulent-tjenesten Cybersoft kunne Internett-brukere i går bla igjennom hele databasen til den norsk-eide jobbrekrutterings-tjenesten Stepstone, skriver den danske IT-avisen Computerworld.

Stepstone er en norskbasert jobbtjeneste der brukere kan legge inn sin CV og ønsker om ny jobb gratis. Selskaper som jakter på nye ansatte kan bla igjennom noe av informasjonen, men må betale for å få kontaktinformasjon. Stepstone har dramatiske vekstplaner og har allerede bred seg til Danmark og Sverige.

Sikkerhetshull
Madsen roper et varsko om et problem med de såkalte cookies-filene svært mange Internett-sider bruker. Både Stepstone og mange andre store Internett-tjenester har gjort den samme bommerten, hevder IT-sikkerhetskonsulenten.

Slik virker feilen:

For at du ikke skal taste inn brukernavn og passord for hver side du hopper til, sender Stepstone en cookie-fil til din nettleser. Cookie-filen gjør også at Stepstone kjenner deg igjen neste gang du stikker innom.

Men Stepstone hadde bare brukt et løpenummer, ikke mer komplisert brukernavn og passord i filen. Ved å gå inn på Stepstone, fikk Madsen en cookie-fil. Deretter kunne han bare ha endret løpenummeret et siffer av gangen og bladd seg gjennom Stepstone-basen. Madsen presiserer at problemet er løst med å bruke passord og brukernavn.

Nå har Stepstone tettet hullet og anmeldt Madsen, forteller Karl Fredrik Agnalt, informasjonsdirektør i Stepstone til digi.no. Men Madsen, som driver IT-sikkerhetsselskapet Cybersoft, benekter at han har gjort noe ulovlig.

- Jeg har ikke trengt meg inn på Stepstones database eller åpnet den for vanlige brukere, sier Madsen til digi.no. Jeg har bare beskrevet dårlig programmering og sikkerhetsproblemene dette fører til. Men jeg har fjernet beskrivelsen fra min side nå.

- Stepstone har brukt 5-10 millioner kroner på markedsføring og 100.000 kroner på programmering, ironiserer Madsen. Dette er et tegn i tiden, sier Madsen som mener at kommersielle tjenester må tenke mer på sine brukeres sikkerhet.

Til toppen