mboost-dp1
CPR/CSC FTP, sikkerhedshul?
Hej
Inden jeg skriver mere skal det lige siges at jeg har taget kontakt til CSC og CPR kontoret og den omtalte server er beskyttet med brugernavn/kodeord, dog ikke SSL.
Vi aftager dagligt CPR-data for samtlige personer i Danmark via en FTP-server placeret hos CSC. Efter noget bøvl med vores ftp-klient og det faktum at CSC kører en gammel IBM Z/OS sad jeg og forsøgte forskellige ting for at komme en mappe op (klienten forstår ikke Z/OS).
Da jeg så tilfældigvis skrev "cd /" for at komme til toppen af min homefolder kom jeg i stedet til roden af serveren som viste sig at køre noget der ligner unix. Alle de typiske mapper var der, etc, var, usr, dev osv. Under home kunne jeg yderligere se navnet på alle kunderne på systemet. Jeg rodede ikke en masse rundt med forsøgte at finde den mappe hvor vores data skulle være, men det er min opfattelse at jeg havde adgang til det meste. Jeg hentede ingen data data jeg ville vil "snage", men jeg er rystet over sikkerheden.
Hvad mener i? Bør jeg gå videre til datatilsynet?
Inden jeg skriver mere skal det lige siges at jeg har taget kontakt til CSC og CPR kontoret og den omtalte server er beskyttet med brugernavn/kodeord, dog ikke SSL.
Vi aftager dagligt CPR-data for samtlige personer i Danmark via en FTP-server placeret hos CSC. Efter noget bøvl med vores ftp-klient og det faktum at CSC kører en gammel IBM Z/OS sad jeg og forsøgte forskellige ting for at komme en mappe op (klienten forstår ikke Z/OS).
Da jeg så tilfældigvis skrev "cd /" for at komme til toppen af min homefolder kom jeg i stedet til roden af serveren som viste sig at køre noget der ligner unix. Alle de typiske mapper var der, etc, var, usr, dev osv. Under home kunne jeg yderligere se navnet på alle kunderne på systemet. Jeg rodede ikke en masse rundt med forsøgte at finde den mappe hvor vores data skulle være, men det er min opfattelse at jeg havde adgang til det meste. Jeg hentede ingen data data jeg ville vil "snage", men jeg er rystet over sikkerheden.
Hvad mener i? Bør jeg gå videre til datatilsynet?
Jeg har taget kontakt til CSC's driftsafdeling gennem et telefonnummer CPR oplyste, men jeg synes de lød lidt afvisende.
Jeg kan se at der er mapper som ligner kendte systemer som pensab, polsag osv. samt en del mapper som tilhører en gruppe rigspftp så jeg synes den er helt gal. Nu har jeg taget nogle screenshots som jeg evt. kan sende afsted til datatilsynet når jeg har hørt fra CSC.
Man skal komme fra en godkendt ip og kende brugernavn/kodeord for at komme på serveren, men jeg kan alligevel se en masse data som ikke vedrører mig og jeg kan se at others gruppen har read på det meste og i nogle tilfælde write og execute. Nu er jeg heldigvis ikke ude på skrammer, men hvis jeg var ville det nærmest være for let. Kort brugernavn+kodeord, ingen ssl.
Jeg kan se at der er mapper som ligner kendte systemer som pensab, polsag osv. samt en del mapper som tilhører en gruppe rigspftp så jeg synes den er helt gal. Nu har jeg taget nogle screenshots som jeg evt. kan sende afsted til datatilsynet når jeg har hørt fra CSC.
Man skal komme fra en godkendt ip og kende brugernavn/kodeord for at komme på serveren, men jeg kan alligevel se en masse data som ikke vedrører mig og jeg kan se at others gruppen har read på det meste og i nogle tilfælde write og execute. Nu er jeg heldigvis ikke ude på skrammer, men hvis jeg var ville det nærmest være for let. Kort brugernavn+kodeord, ingen ssl.
Hullet er lukket her til morgen, men efter nærmere diskussion her i firmaet er vi overbeviste om at det har eksisteret siden 2009 - minimum. Jeg ved ikke om CSC sætter en undersøgelse igang, det kan jeg kun håbe. Efter som vi er kunder gennem CPR så kender CPR til sagen så mon ikke de sætter deres egen undersøgelse igang. Spørgsmålet er så bare om man har de fornødne log-filer til at finde ud af om der er nogen der har misbrugt det.
I første omgang afviste CSC at der skulle være noget galt, men da jeg begyndte at opremse mappenavne tror jeg det gik op for dem at der var noget galt. Jeg sendte efterfølgende en mail med screenshots til dem.
I første omgang afviste CSC at der skulle være noget galt, men da jeg begyndte at opremse mappenavne tror jeg det gik op for dem at der var noget galt. Jeg sendte efterfølgende en mail med screenshots til dem.
Jeg synes du skulle downloade alt data og efterfølgende afpresse CSC.
Det skader sikkert flere problemer for sig selv end godt er, men i det mindste får du deres opmærksomhed, og sikkerhedshullet lukkes sikkert hurtigst på den måde..
Så altså - for the greater good.. download data og afpres dem.
Det skader sikkert flere problemer for sig selv end godt er, men i det mindste får du deres opmærksomhed, og sikkerhedshullet lukkes sikkert hurtigst på den måde..
Så altså - for the greater good.. download data og afpres dem.
Jeg må hellere tilføje at CSC efter min mening har gjort hvad de kunne for at lukke hullet og de har gjort det hurtigt, så for mit vedkommende er der ikke mere at komme efter nu. Desuden har jeg ingen håndgribelige beviser, kun screenshots af data som jeg under ingen omstændigheder skulle kunne se samt en indikation af at others havde read på dataene.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund