Alle som er registrert som brukere hos SMS-tjenestene SMSKing.no eller SMSUtopia.no, som også er eller har vært tilgjengelig for svenske og danske brukere, bør sørge for ikke bare å bytte passord hos disse tjenestene, men også alle andre steder hvor det samme passordet har blitt brukt.
Årsaken til dette er at hele databasesystemet til disse tjenestene har vært tilgjengelig for angripere ved hjelp av forholdsvis enkle teknikker. Dette inkluderer også brukernes passord, som har blitt lagret i klartekst.
Flere hundre tusen
Det er selskapet Northpole AS som står bak begge de to SMS-tjenestene, som reklamerer med at de har henholdsvis 200 000 og 100 000 registrerte brukere. Hvor mange av disse som er aktive i dag, har vi ikke fått svar på. Men dataene om alle de registrerte brukerne er fortsatt lagret i databasen.
Hackeren som har tipset digi.no om dette, er den samme som tipset oss om sårbarhetene hos Telemarksforsking. I videoen lenger ned i saken demonstrerer han hvordan sårbarheten kunne utnyttes ved hjelp av et Perl-skript han hadde satt sammen en kveld. Vi har vært nødt til å sladde en del av innholdet, dels etter forespørsel fra hackeren, og dels fordi man kan se epost- og passordkombinasjoner komme opp på skjermen.
Sårbarheten var av en type som åpner for SQL-injisering, altså en mulighet til å sende instruksjoner direkte til databaseserveren. Vi kommer tilbake til noen flere detaljer mot slutten av artikkelen.
Lukket hull
Daglig leder i Northpole AS er Ingar Melby. Han har ikke vært villig til å la seg sitere i denne saken. Fredag i forrige uke, en ukes tid etter at digi.no varslet ham, sendte han oss denne offisielle uttalelsen fra selskapet.
«Vi ønsker å takke for at dere tok kontakt med oss og er takknemlige for å ha blitt gjort oppmerksomme på sårbarheten som gjør det mulig å bryte seg inn på våre servere. Sikkerhetshullene er nå tettet, brukernes passord er kryptert (hashet med salt) og de berørte brukerne vil bli varslet i løpet av kort tid.»
Mens vi ventet på svar fra Melby, ba vi Gullik Gundersen, juridisk rådgiver hos Datatilsynet, om å kommentere dette sikkerhetsbruddet.
Beskyttelsesverdig
Det er helt åpenbart at han skal sende oss en avviksmelding
Gullik Gundersen, Datatilsynet
Til digi.no sa Gundersen at forholdene framstår som ganske alvorlige, men at det er vanskelig å si hvor sensitive data det er snakk om, basert på den begrensede informasjonen han har mottatt fra digi.no.
– Men dersom det dreier seg om SMS-historikk, er det ganske beskyttelsesverdig informasjon, sier han.
Men ifølge brukerbetingelsene til de to SMS-tjenestene slettes meldingene etter tre måneder.
På spørsmål om innehaveren av SMSKing bør varsle både Datatilsynet og brukerne av tjenesten om dette innbruddet, var Gundersen klokkeklar.
– Det er helt åpenbart at han skal sende oss en avviksmelding om uautorisert utlevering av personopplysninger. Når det gjelder å varsle brukerne, er dette ikke et krav etter loven. Men vi pålegger det ofte likevel. Folk har interesse av å vite hva som har skjedd med deres opplysninger, sa Gundersen.
Etter det digi.no erfarer, har Northpole AS til hensikt å varsle Datatilsynet, men denne var ennå ikke mottatt av Datatilsynet mandag formiddag i denne uken.
Flere inngangsporter
Etter at digi.no mottok uttalelsen fra Northport, viste det seg at sårbarheten som var blitt fjernet, nok ikke var den eneste som kunne gi tilgang databasesystemet. Hackeren opplyste til digi.no om at det fantes minst en til. Ved hjelp av en svært kort URL kunne man blant annet hente ut versjonsnummeret til databasesystemet og operativsystemet dette kjøres på.
Og når dette først er mulig, er det ofte mulighet å gjøre langt mer. Om dette var tilfellet med denne angrepsvektoren, er uavklart.
SQL Server 2000
I likhet med infrastrukturen til Telemarksforsking, kjøres SMS-tjenestene til Northpole på eldre infrastruktur levert av Microsoft. Men i Northpoles tilfelle er det snakk om virkelig gamle og utdaterte utgaver som det ikke har blitt levert sikkerhetsfikser til på temmelig lenge. Operativsystemet er Windows Server 2003, mens databaseserveren er SQL Server 2000.
Ifølge hackeren fant han den opprinnelige sårbarheten så tidlig som i 2008, muligens enda tidligere.
Da skal det også ha vært mulig å forfalske avsendernummeret på SMS-ene, rett og slett ved å endre avsendernummeret i skjemaet man sendte SMS-er fra. Om denne muligheten fortsatt eksisterer, har digi.no ikke fått noe klart svar på.
Hackeren har også sendt oss denne lenken, hvor det i alle fall i inntil mandag ettermiddag var klare tegn på at SMSKing hadde hatt innbrudd. Dette var en utdatert side, men interessant nok inneholdt brukerbetingelsene (helt nederst) blant annet en referanse til nesten den samme URL-en som man kunne bruke for å hente ut versjonsnummeret til databaseserveren.
Inndata må filtreres
Hovedårsaken til at det er enkelt å utføre SQL-injisering på mange nettsteder, er at webapplikasjonene på serversiden ikke validerer og filtrerer inndata godt nok. I forbindelse med inndataverdier hvor for eksempel bare heltall egentlig skal godtas, kan man med «litt lirking» sette inn omfattende SQL-setninger. Ofte blir resultatet av disse vist som en del av en feilmelding.
Da digi.no gjorde Ingar Melby kjent med de nyeste funnene på mandag, valgte han å ikke komme med noen ny uttalelse.
I skrivende stund fungerer verken SMSKing.no eller Utopia.no.
Databasen lakk som en sil: Norsk institutt ble nødt til å stenge eget nettsted
