Sikkerhedshul hos DK Hostmaster

1775 dage siden af Asger Lund Pedersen -

I et tidligere blogindlæg forklarer jeg, hvordan jeg har fundet en faktura fra DK Hostmaster på Google. Hvilket er ret foruroligende i sig selv, da der i en faktura står både handle (bruger-id) og pinkode. Med et handle og pinkode kan man administrere et domæne, vha. selvbetjening på http://dk-hostmaster.dk.

Grunden til at denne faktura er blevet indekseret på Google kender jeg ikke, men det er muligt fordi siden ikke er beskyttet. Hvis man kender et kontonummer og et fakturanummer, kan man få vist en faktura. Man indtaster simpelthen adressen https://www.dk-hostmaster.dk/index.php?id=6&area=betaling&language=da &kontonummer=1234567&fakturanummer=1234567, hvor kontonummer og fakturanummer indgår. Det er dog ret svært at gætte sig frem til to korrekte tal der er på 7 cifre. Men dog muligt. Jeg satte mig derfor for at kigge lidt nærmere på sikkerheden hos DK Hostmaster.

Hvis bare jeg kunne få det ene af de to tal, ville jeg kunne mindske antallet af kombinationsmuligheder markant. Det lykkedes mig at at finde denne side, hvor man bare skal kende et handle og et fakturanummer for at få vist en faktura. Jeg vil i det følgende omtalte siden som betalingssiden. Alle handles er offentlig tilgængelige. Man benytter DK Hostmasters “find .dk domænenavn” funktion, som findes på DK Hostmasters forside. En ekstra lille ting er at hvis man indtaster et gyldigt handle, og et tilfældigt fakturanummer på betalingssiden, får man logisk nok ikke lov at se fakturaen, men i stedet for handle står der nu et nummer i feltet. Det er ejeren af domænets kontonummer (hos DK Hostmaster).

Antallet af kombinationsmuligheder er nu faldet, så den tid det tager at finde et gyldigt kontonummer og fakturanummer, er nu reduceret markant. Man kan nu lave en strategi for at finde et korrekt fakturanummer. Den simpleste form er at benytte brute-force, hvor man starter fra en ende af, men det er også muligt at konstruere en smartere strategi hvor man udelukker en del af løsningsrummet. Det kan eksempelvis være at man undlader at undersøge tal der er under 7 cifre, da man formoder at alle fakturanumre har samme længde.

Jeg har I en mail forklaret disse ting til DK Hostmaster, og venter spændt på et svar fra dem.

Kom gerne med kommentarer og yderligere informationer til denne sag.


Kommentarer

  1. Det er simpelten for amatøragtigt her i 2007.

    Jeg har selv oplevet på utallige web-hoteller, at deres fakturaer ligger frit tilgængelige (dog ikke med passwords) – hvilken håbløs programmør laver sådan noget?

    Alex · 2007-07-10 18:20 · #

  2. Hej Alex,

    Ja det er for ringe. Kan huske for en del år siden hvor Harald Nyborg blotlagde kundedata, og de fik også mange utilfredse ord med på vejen. Se http://m.cw.dk/art/15301?cid=1&a=cid&i=1&o=21403

    Asger · 2007-07-10 18:32 · #

  3. Så er der svar fra DK Hostmaster. Det kan læses her: http://asger.dk/2007/07/14/svar-fra-dk-hostmaster

    Asger Lund Pedersen · 2007-07-14 17:22 · #

Textile hjælp