Lekker alle passord

HjemmeNett har gitt sine innholdsleverandører tilgang til passord og brukernavn for 4.962 brukere. Nå lover selskapet å rydde opp.

- Programmeringsmessig idiotisk. Vi skal få rettet dette så snart det er mulig.

Slik kommenterer administrerende direktør Toralf Ekelund i HjemmeNett feilen som har sendt brukernavn og passord for alle sine 4.962 nettbrukere til 50 innholdsleverandører.

Enkelt fortalt består feilen i at brukernavnet og passordet den enkelte brukeren åpner sin brukerprofil med, blir med som en del av adressen videre når brukeren følger en peker fra HjemmeNetts forside til en av innholdsleverandørene. Ettersom innholdsleverandørene fører lister over hvilke adresser de besøkende kommer fra, vil en innholdsleverandør kunne lese passord og brukernavn for sine besøkende. Med hjelp av disse opplysningene er det også mulig å gå hente ut og endre annen informasjon om brukeren.

- Jeg vil gå ut fra at de færreste innholdsleverandørene kjenner til at noe slikt er mulig. Vi har også skriftlige avtaler med våre innholdsleverandører om at de ikke skal benytte sensitiv informasjon som de får gjennom tjenesten, sier Ekelund.

Det er Mogul Media som har utført programmeringsarbeidet for HjemmeNett. Adminstrerende direktør Øyvind Vada i Mogul Media lover å få rettet opp feilen umiddelbart da digi.no henvender seg til ham.

- Disse opplysningene har bare vært tilgjengelige for en lukket krets og det er kun personer med administrasjonsrettigheter til en server i denne kretsen som har kunnet søke i denne webserverens loginformasjon, sier han.

Umiddelbart etter at digi.no kontaktet Vada ble feilen rettet opp på HjemmeNetts server, og han lover at slike lekkasjer ikke skal kunne inntreffe igjen.

- Men hva med de som allerede har fått sine passord listet i innholdsleverandørenes aksesslogger, bør ikke de nå bytte ut dette passordet? Disse opplysningene blir jo liggende hos innholdsleverandørene?

- Jeg kan ikke si at det er nødvendig, for det er innenfor en sluttet krets av innholdsleverandører. Vi har avtaler med disse innholdsleverandørene om taushetsplikt knyttet til informasjon som tilfaller dem gjennom samarbeidet, sier Ekelund.

- Men det er snakk om 50 innholdsleverandører, bestående av alt fra store mediehus til mindre nettmagasiner. Bør brukerne ta sjansen på at ingen av disse innholdsleverandørene vil kunne misbruke passord de får tilgang til?

- Det må forsåvidt brukeren vurdere selv. Jeg vil ikke gå ut med noen sterk oppfordring om å endre passord, sier Ekelund.

Til toppen