Svar fra DK Hostmaster
1771 dage siden af Asger Lund Pedersen -
Nu har jeg fået svar på min mail til DK Hostmaster, om de svagheder jeg mener at have fundet i deres system. Kommunikationschef Lotte Seheim skriver:
“Hej Asger
Tak for din mail og lige så stor tak for dine spørgsmål til vores sikkerhed.
De overvejelser, du har gjort dig på din blog, er i øvrigt nået ComputerWorld, der for nogle minutter publicerede en artikel
Du spørger, hvordan det kan lade sig gøre at komme til en af vores kunders faktura – og hvordan det efterfølgende ender med at blive indekseret på Google.
Betyder det, at vi har en “åben” dør til vores selvbetjening?
Vi tjekkede naturligvis dit fund med det samme. For hvis dit søgeresultat generelt gjaldt alle vores kunder og deres fakturaer, ja så havde vi i den grad et sikkerhedshul, der skulle lukkes. MEN heldigvis var der ikke noget hul – for der var kun tale om denne ene kundes faktura.
Når du har kunnet google fakturaen frem, så er det netop fordi kunden har lagt sin faktura (i pdf) frit frem på sin hjemmeside. Med bruger-id, pinkode og hele pivtøjet. Heriblandt også de links, vi har sat ind i kundens faktura for at give ham mulighed for at kunne linke direkte til betalingssiden og klare fornyelsen af sit domænenavn online.
At lægge sin pdf-faktura inkl. de direkte links frit frem på sin hjemmeside svarer til, at jeg som dankort-indehaver lægger mit kortnummer og de tre kontrolcifre fra kortets bagside ud på nettet. Så er der også frit slag for alle og enhver.
For så har du “nøglerne” til at gøre hvad som helst på min regning så at sige.
Men det er udelukkende muligt, hvis jeg stiller “nøglerne” til rådighed i fuld offentlighed. Ellers er nøglerne en sag mellem mig og min bank – og sådan forholder det sig også mellem DK Hostmaster og vores trekvarte million kunder (minus 1). Vores kunder ved, at deres faktura indeholder koder og links, så de kan komme til deres domæneoversigt og som i dette tilfælde – har mulighed for at betale deres faktura online.
Med hensyn til den syvcifrede kode… Du har ret – selvfølgelig kan det lade sig gøre at knække en syvcifret kode rent matematisk og med de rette værktøjer.
Vi er bestemt ikke Fort Knox, men vi mener, at vores sikkerhed står i forhold til bl.a. brugervenlighed, vores kunders behov og de 45 kr., de årligt betaler for vores administration af deres domænenavne. Alting har en pris – kunsten er at lande det sted, der passer til ens virkelighed.
Dermed ikke sagt, at vi er tilfredse med status quo og læner os tilbage. Det gør vi IKKE! Tværtimod. Vi forsøger hele tiden at rykke med og rette vores sikkerhed til, så den tager højde for evt. trusler og nye forhold.
Og derfor er din mail og dine input af stor værdi for os. Fordi du stiller spørgsmål, så vi hele tiden ved, om vi er på rette spor rent sikkerhedsmæssigt.
Af samme grund er vi i fuld gang med at programmere en spærring, der sætter ind, når nogen tre gange forsøger at kombinere et bruger-id (eller et kontonr.) med et muligt fakturanummer.
Identitetstyveri forekommer alle steder, men vi har indtil dato ikke oplevet det. Skulle det ske, så griber vi ind – prompte.
Skulle nogen få adgang til fx dit bruger-id og pinkode og ændre i opsætningen af dit domænenavn, vil du lynhurtigt opdage det og kontakte os. I samme øjeblik du kontakter os, er vi i stand til at hjælpe dig.
Hvis vores kunder lever af deres domænenavn og har brug for ekstra sikkerhed, har de mulighed for at få VID-status (Very Important Domain name), der låser alt omkring domænenavnet.
Tilbage står så, at den, der begår et evt. identitetstyveri, har overtrådt loven og – ligesom i alle andre sager – vil kunne retsforfølges.
Når jeg først svarer på din mail nu, skyldes det, at du har kontaktet os via info@dk-hostmaster.dk, der er en generel postkasse for al mail, vi modtager. Pga. ferietid (og mindre bemanding) har den været nogen tid om at komme igennem systemet.
Jeg vil sætte stor pris på, at du hvis/når du fremover besøger eller søger på vores hjemmeside, finder noget, der undrer dig, kontakter mig direkte.
Enten pr. tlf. xxxx xxxx eller pr. mail på xxxxxxxxxx
Det vil give os mulighed for at reagere med det samme.
Så er der kune tilbage at sige dig mange tak for inputtet.
God sommer
Lotte Seheim
Kommunikationschef
DK Hostmaster”
Telefonnummer og mailadresse er slettet fra svaret.
Jeg er rigtig glad for at DK Hostmaster har svaret mig på min henvendelse, men jeg dybt uenig med deres holdning. Følgende citat siger næsten alt:
“Vi er bestemt ikke Fort Knox, men vi mener, at vores sikkerhed står i forhold til bl.a. brugervenlighed, vores kunders behov og de 45 kr., de årligt betaler for vores administration af deres domænenavne. Alting har en pris – kunsten er at lande det sted, der passer til ens virkelighed.”
Min vurdering er at det er en meget lille ændring der skal til. Synes det er skræmmende at alle kan stjæle et domæne. Det er desuden efter min mening fuldstændig irrelevant hvad prisen på domænet er i den her sag. Det er langt større beløb der er på spil, hvis den samlede sikkerhed til .dk domæner ikke er god nok.
Det vil være muligt at overtage et domæne fra eksempelvis en netbank, og videresende alt trafik til og fra brugeren til den oprindelige netbank, og derved fange alt trafik. Det vil næsten ikke være til at opdage, for en normal bruger, at der er noget galt.
Hvad synes I at man bør gøre nu? Debatten kører omkring problemet, og man kan håbe det vil presse DK Hostmaster til at lukke hullet.
til din citering så skriver de også citat: “Af samme grund er vi i fuld gang med at programmere en spærring, der sætter ind, når nogen tre gange forsøger at kombinere et bruger-id (eller et kontonr.) med et muligt fakturanummer.”
— Davy · 2007-07-15 00:46 · #
Så ser det ud til at hullet er lukket nu. Det tyder på der er sat en spærring på, som gør at man højst kan forsøge at hente en faktura 3 gange i døgnet, med forkert fakturanummer. Synes det er rigtig godt at DK Hostmaster nu har lukket hullet.
— Asger · 2007-07-15 03:45 · #
Hej Davy,
De skriver jo rigtigt som du siger de vil rette fejlen og ikke som jeg i indlægget antyder at de ikke vil rette det. Klart en fejl fra min side, at jeg har overset det. Det jeg kan anfægte er at de ikke erkender at det er et sikkerhedshul, samt at hendes udtalelse omkring sikkerhed i forhold til prisen er lidt tamt. Tak for at påpege det.
— Asger · 2007-07-15 04:05 · #
Lotte skriver: “Hvis vores kunder lever af deres domænenavn og har brug for ekstra sikkerhed, har de mulighed for at få VID-status (Very Important Domain name), der låser alt omkring domænenavnet.”
Er der nogen af jer der har sådan en lås? Synes det lyder som en god løsning. Nogen der ved om det koster noget, og hvor man anmoder om det?
— Asger · 2007-07-15 04:28 · #
På baggrund af kommentar fra Davy, har jeg rettet dette blogindlæg og fjetnet sætningen: “Jeg forstår simpelthen ikke, at de erkender der er en svaghed, og ikke retter problemet.”
— Asger · 2007-07-15 10:37 · #