DK Hostmaster afviser sikkerhedshul i pressemeddelelse
1768 dage siden af Asger Lund Pedersen -
Lotte Seheim fra DK Hostmaster har gjort mig opmærksom på, at de netop har udsendt en pressemeddelelse.
Til pressemeddelelsen har jeg følgende kommentarer:
Jeg mener det er forkert som overskriften siger “Google fandt ikke faktura på DK Hostmasters hjemmeside”. Det var jo netop ikke brugerens hjemmeside som Googles resultat linkede til, men et direkte link til fakturaen hos DK Hostmaster. At det så er brugerens skyld, at Google har kunnet finde det link er noget andet.
Det svarer til at en bruger har lagt sit dankort og pinkode offentligt tilgængeligt, en tilfældig går hen og hæver penge på det, og banken derefter nægter at der er blevet hævet penge.
Jeg vurderer at det er korrekt, at det ikke direkte er et sikkerhedshul hos DK Hostmaster der er skyld i, at fakturaen er endt på Google. Man kan til dels sige, at den side på DK Hostmaster domæne, som Google fandt, aldrig ville være blevet indekseret, hvis man skulle indtaste handle og pinkode for at se en faktura. Det ville dog ikke forhindre at Google kunne indeksere fakturaen på kundens hjemmeside.
Desuden er det, at Google har indekseret en faktura jo bare startskuddet til, at jeg begyndte at undre mig. Efterfølgende fandt jeg det jeg mener som værende et slemt hul i sikkerheden – nemlig at man kunne bruteforce sig til en faktura, og dermed brugernavn og pinkode. Det har DK Hostmaster fint rettet, men indrømme det var et hul har de jo langt fra. Antallet af kombinationer er jo ikke ret stort, så det ville ikke tage uendelig lang tid at finde en sådan faktura, hvor bruger-id og pinkode står.
I DK Hostmaster pressemeddelelse skriver de som overskrift til et afsnit: “Sikkerhed frem for alt”. Det synes jeg står meget i kontrast til det, jeg ser som det andet store problem i denne sag, Lotte Seheim tidligere har udtalt: “Vi er bestemt ikke Fort Knox, men vi mener, at vores sikkerhed står i forhold til bl.a. brugervenlighed, vores kunders behov og de 45 kr., de årligt betaler for vores administration af deres domænenavne.” Her antyder Lotte Seheim, at man får det man betaler for. Men hvad har vi så betalt for? Hvad er det vi får for pengene?
Yderligere står der i pressemeddelelsen: “Der er øjeblikkelig indført en spærring, der sætter ind, når en kunde 3 gange taster forkert kode. ”Vi var allerede i gang med det, men nu har vi sat yderligere fart på vores bestræbelser på at få skilt bruger-id´er og pinkoder fra hinanden,” oplyser Per Kølle.” Det er lidt svært at finde ord for sådan en udtalelse. I stedet for at erkende der har været et hul i sikkerheden, så forsøges der at få oprejsning ved at udtale, at vi allerede var ved at rette det. Det er lidt tyndt synes jeg.