Sikkerhetshull i IT-system

Eivind (18) fant hull som eksponerer to millioner nordmenn. Ble avvist: - Det er trist at du prøver å tjene penger på dette

Eivind Limstrand jobber som IT-lærling i Teknisk Ukeblad Media. I mars varslet han om et sikkerhetshull som eksponerer to millioner nordmenn, men han følte at han ikke ble tatt seriøst.
Eivind Limstrand jobber som IT-lærling i Teknisk Ukeblad Media. I mars varslet han om et sikkerhetshull som eksponerer to millioner nordmenn, men han følte at han ikke ble tatt seriøst. (Foto: Martin Braathen Røise)

I begynnelsen av mars i år ble det varslet om et alvorlig sikkerhetshull i IT-systemene som forvalter sensitiv informasjon om over to millioner medlemmer. Den da 17-år gamle varsleren ble ikke tatt seriøst, og sikkerhetshullet ble ikke stengt før etter fem måneder. 

Da Eivind Limstrand (18) først tok kontakt med Norges idrettsforbund (NIF) i mars ønsket han en såkalt «bug bounty» for å avsløre hvor sikkerhetshullet befant seg, men den dansen var ikke forbundet villige til å være med på. 

Trist at du skal tjene penger

«Synes det da er trist at du ikke er mer lojal mot idretten og skal tjene penger på slike ting», skrev de på førstelinjesupport, uten å eskalere saken videre til ledelsen. 

Med sikkerhetshullet i hånden kunne Limstrand manipulere databasene til NIF, og hente ut informasjon om noen av Norges mest profilerte idrettsstjerner som bor på hemmelig adresse. 

Limstrand påstår at hullet kunne utnyttes av hvem som helst uten spesielle tilgangsrettigheter. 

18-åringen jobber i dag som IT-lærling i Teknisk Ukeblad Media – selskapet eier digi.no. 

Betaler 800 000 kroner

I internasjonal IT-bransje er det ikke uvanlig å betale finnerlønn for denne typen sikkerhetshull. I juli skrev digi.no at Microsoft betaler opp mot 800 000 kroner for å avdekke feil i deres innloggingstjenester

Idrettsforbundet opplyser til digi.no de ikke betaler «finnerlønn». Siden forbundet oppfattet at Limstrand ikke var ute etter å ivareta idrettens felles løsninger, ble det heller ikke gjort noe mer med saken i mars. 

Finn Aagaard er kommunikasjonsansvarlig i Norges Idrettsforbund.

– Slik vi forstår korrespondansen var det heller ikke et tilbud om å hjelpe oss å løse et eventuelt sikkerhetshull.

– Vi opplevde dette som et forsøk på å ta seg betalt for å avsløre et sikkerhetshull, ikke til å sette inn tiltak som løser problemet, sier kommunikasjonsansvarlig Finn Aagaard til digi.no. 

Ikke anledning til å betale

– Hvorfor ble ikke denne hendelsen eskalert videre?

– Vi var like tydelig den gang, som nå: Vi har ikke anledning til å betale for publikumstips, men setter pris på å motta informasjon eller dokumentasjon på eventuelle sikkerhetshull, sier Aagaard.

Nasjonal sikkerhetsmyndighet (NSM) mener det er en god tilnærming. 

– Vi kjenner ikke til at det er et generelt problem at man ber om belønning for å avdekke en sårbarhet.

– Varslere bør absolutt ikke kreve belønning for å informere om en sårbarhet som er viktig for en virksomhet. Generelt bør ingen la seg presse til å betale for noe sånt, sier leder Håkon Bergsjø for NorCERT til digi.no.

(artikkelen fortsetter under)

IT-avdelingen i NIF-huset i Sognsveien 73 i Oslo. Illustrasjonsfoto. Foto: Tore Kristiansen/NTB Scanpix

Må rette raskt

Bergsjø forteller at de oppfordrer alle som avdekker svakheter i IT-systemene om å informere den berørte part om dette så fort det lar seg gjøre. 

Samtidig påpeker NorCERT-lederen at det er svært viktig at virksomheten som blir gjort oppmerksom på en svakhet, kjapt løser utfordringen de står overfor.

– Den enkelte virksomhet som blir gjort oppmerksom på en sårbarhet, bør forsøke å tette hullet. Noen virksomheter har denne kompetansen selv, mens andre vil måtte få støtte i dette arbeidet.

– Alle sikkerhetshull lar seg ikke tette umiddelbart, og da bør det vurderes kompenserende tiltak, sier Bergsjø til digi.no. 

Gigantiske mengder data

Eivind Limstrand snudde etterhvert, og tilbød seg til slutt å gi NIF dokumentasjon om sikkerhetshullet kostnadsfritt. 

– Jeg ligger personlig i denne databasen, og ville ikke ha informasjonen min lekket. Jeg bryr meg også om andres sikkerhet, sier Limstrand.

Håkon Bergsjø i NSM NorCERT
Håkon Bergsjø i NSM NorCERT. Foto: Ben Ivar Mosfjeld

 – Hva tenker du om at NIF ikke tok dette alvorlig allerede i mars?

– Jeg trodde at en organisasjon så stor som NIF ville ta sikkerhetshull som dette mer alvorlig. Det er snakk om gigantiske mengder data, sier Limstrand til digi.no.

Avvik meldt Datatilsynet

Aagaard i NIF er svært fornøyd med at IT-lærlingen snudde i kompensasjonsspørsmålet, og mener det er prisverdig. 

Dokumentasjonen som 18-åringen satt på ble oversendt NIF torsdag i forrige uke, og sikkerhetshullet var tettet fredag ettermiddag. 

Avviket ble meldt Datatilsynet samme dag. 

Utvidede rettigheter

 – To av sikkerhetshullene var knyttet til Min idrett. De gjorde det mulig å manipulere HTML-koder for å lese informasjon om brukerne i databasen. Disse to sikkerhetshullene ble tettet i slutten av april 2018. Dette hullet kunne utnyttes av en normal bruker i Min idrett, sier Aagard til digi.no og fortsetter:

– Et annet sikkerhetshull er avdekket via en tredjepartsløsning. Dette er en medlemsløsning som noen idrettslag benytter. Løsningen har integrasjon mot idrettens sentrale database og gir mulighet for å manipulere persondata og opprette personobjekter.

– Her har vi gitt beskjed til selskapet at de må stenge integrasjonen omgående, og skrive om løsningen før denne åpnes igjen. For å utnytte hullet antar vi at en må ha en bruker med utvidet tilgangsrettigheter.

Kommentarer (18)

Kommentarer (18)
Til toppen