Sådan ser serveren bag Sonofonhuset ud for den besøgende.

Sonofons julespil ren hacker-bule på åben server

Sonofon-netspillet Sonofonhuset afvikles fra usikker server, som alle frit kan koble på og kontrollere. Samtidig sendes persondata frit omkring.

Af Send e-mail
Publiceret d. 10. december 2008 kl. 15.59 | Antal kommentarer (13)
Send Tip en ven Print Udskriv


Annonce:
 
ANNONCE:
 

sonofon-julekalender.jpg
Her kan du se serveren. Klik på billedet for at se det i en større version.

sonofon julespil
Her kan du se serverens directory. Klik på billedet for at se det i en større version

 
 
Vind 100.000 kroner og få virus på din computer og dine personoplysninger udstillet på en pivåben server i Kuala Lumpur.

Sådan lyder et tilbud fra Sonofon til danskere, som deltager i firmaets højtprofilerede flashspil Sonofonhuset.

Problemet er, at serveren bag Sonofon-spillet er så usikker, at spillets opsætning og styring er frit tilgængelig for enhver, som ønsker at ændre på spillets egenskaber eller kode.

"Det er fuldstændig piv-hamrende åbent. Der er intet brugernavn og password," fortæller Peter Kruse, fra sikkerhedsfirmaet Csis.

Den dårlige sikkerhed bag spillet gør udfordringen ved at vinde minimal. På grund af den usikre server er det nemlig nemt at vinde, mener Peter Kruse.

"Du kan snyde på alle måder. Du kan ændre level, hvad du opnår af point, du kan ændre hvor data bliver sendt hen og oven i købet indholdet af data. Men du kan også levere skadelig kode, hvis det er det du vil," siger Peter Kruse.

Stor sikkerhedsrisiko
Dermed gør spillet det muligt at inficere andre brugeres computere med skadelig kode eller simpelthen bruge Sonofons spilserver til et helt andet formål.

Sonofon leverer via serveren oven i købet adgang til et nemt brugerinterface, som giver kontrol over serveren uden brug af indviklet kodelinie, forklarer Peter Kruse.

Den frie adgang til Sonofons spilserver i Kuala Lumpur giver fuld adgang til alle mapper med kildekoden til julespil på Sonofons hjemmeside. Og sikkerhedshullet giver gode muligheder for at sprede skadelig kode ved hjælp af serveren.

"Du kan ændre koden i Shockwave Flash og indlægge eksterne links, som eksempelvis peger hen mod det nye Shockwave Flash exploit eller de ny exploits i Internet Explorer. Det tager to minutter," siger Peter Kruse.

"Fuld mappelistning. Fuld adgang til managementsystemet og ingen passwords. Jeg synes, det er kikset, at Sonofon ikke har været inde og tjekke," siger Peter Kruse.

Derfor mener Peter Kruse, at Sonofon bør rette problemet så hurtigt som muligt og herefter validere leverandøren af julespillet grundigt.

"Jeg synes, at Sonofon bør gøre sig tanker om, hvad det betyder, at man sender danske brugerdata til Kuala Lumpur," siger Peter Kruse, der ikke mener at kunne finde oplysninger til brugerne om denne videregivelse af oplysninger til et fremmed land på Sonofons hjemmeside.

Fortsættes ...
« forrige side
1 2
»










Kommentarer - Debatoversigt


Flot Sonofon
2 indlæg

Dårlig etik at publisere sikkerhedshul?
3 indlæg

Populisme og masser af vrøvl!
2 indlæg

Bevis?
6 indlæg

Til Claus Pedersen
1 indlæg

Peter Kruse -manglende viden omkring flash kompillering
1 indlæg

Kommentér
Log ind | Ny bruger
Titel:

Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Forsiden lige nu

Galleri: Disse heldige Facebook-folk bliver snart badet i guld
Facebooks kommende gigant-børsnotering vil udløse milliard-formuer til mange mennesker. Se her, hvem der kommer til at score kassen - inklusive en verdensberømt rocksanger.
9. februar 2012 kl. 15.59 | læs »

Bank: Derfor er login uden NemID helt i orden
Der er ikke hold i påstanden om sikkerhedsproblemer i forbindelse med bankkunders login uden brug af NemID, lyder det fra Nykredit Bank.
9. februar 2012 kl. 13.40 | (2) | læs »

Google vil betale for at overvåge dig på nettet
I al stilhed har Google lanceret et program, hvor selskabet vil betale brugerne for at lade Google snuse rundt i deres browseraktiviteter.
9. februar 2012 kl. 12.59 | (1) | læs »

KMD arbejder på gigantisk kommunalt it-projekt
"Et af de største enkeltstående it-projekter i KMD siden kommunalreformen". Sådan betegner KMD selv dette it-projekt, som over 100 KMD-folk foreløbig har været inde over.
9. februar 2012 kl. 07.00 | læs »



Mest læste på Computerworld:
»
Sådan har svenskerne løst politiets it-problem

»
Åh nej! Her er verdens pinligste firma-koks på nettet

»
It-firmaer til ansatte: Sådan skal du klæde dig

»
Dansk kæmpeselskab sætter CSC på porten

»
Test: Hæsblæsende 4G-duel mellem TDC og Telia

»
Din mobiltelefon kan overvåges med stille sms



Seneste debat:

»
Dansk kæmpeselskab sætter CSC på porten | (7)
»
Bank: Derfor er login uden NemID helt i orden | (2)
»
Google vil betale for at overvåge dig på nettet | (1)
»
Rapport: Spild af penge at give politiet smartphones | (1)
»
Halv NemID-løsning i bankerne vækker bekymring | (4)
»
CMS-løsninger kæmper mod gratis alternativer | (1)







Ledige it-job på Jobworld
Support tekniker
Bloom

Systemudvikler
Danske Bank

Support Professional
Milestone Systems A/S

It-drift og support (57) Database (2) Salg (4) Internet og Web (5) Ledelse (17) Systemudvikling (57) Telekommunikation (0) Virksomhedssystemer (3) Job i Sverige (937)
Alle it-job »

 
 
Navnenyt fra it-danmark
Vis alle »
Erling Glud Nielsen
Erling Glud Nielsen
Brian Emmertsen
Brian Emmertsen
Morten Støvring
Morten Støvring
Christian Nerrand
Christian Nerrand
Dan Sunesen
Dan Sunesen

Christian Pejrup
Christian Pejrup
Rune Risom
Rune Risom
Niels Henrik Rasmussen
Niels Henrik Rasmussen
Frede Ascanius Jacobsen
Frede Ascanius Jacobsen
Jens Tidemann
Jens Tidemann


 
White papers
Tjekliste til din sikkerhedsløsning
Når din virksomhed skal indkøbe løsninger til data-sikkerhed har du brug for en måde at veje de...
Stop malwaren ved dørtrinnet
McAfee Email and Web Security Appliance sætter et filter op mellem dit netværk og internettet og...
It-sikkerhed - SaaS kan kurere hovedpinen
Det koster tid og penge hele tiden at holde virksomhedens værn mod sikkerhedstrusler i den bedst...
Alle whitepapers »

 

Få nyhedsbrevet

Med Computerworlds nyhedsbreve er du altid orienteret om it og it-branchen
Partnerlinks

Webhotel

Computer

Bærbar

Digital TV

RSS fra Computerworld

Få besked så snart Computerworld opdateres



Mest læste seneste uge

Sådan har svenskerne løst politiets it-problem
For under 100 millioner svenske kroner har svenskerne løst politiets it-problemer. I Danmark er budgettet sprængt med mere end 100 procent.
Læs mere

Åh nej! Her er verdens pinligste firma-koks på nettet
#Fail - sådan skal du ikke gøre. Se hvordan store virksomheder klokker i det på Facebook og Twitter.
Læs mere

It-firmaer til ansatte: Sådan skal du klæde dig
Er du klædt på til succes, eller spiller tøjet ingen rolle på din arbejdsplads? Læs her, hvordan danske it-medarbejdere går klædt i virksomheder som Mærsk, Google og i en lille dansk kommune.
Læs mere

Dansk kæmpeselskab sætter CSC på porten
CSC mister sin største privatkunde i Danmark. Hundredvis af CSC-ansatte kan blive berørt.
Læs mere

Test: Hæsblæsende 4G-duel mellem TDC og Telia
Med 4G kommer du voldsomt hurtigt på nettet med mobilt bredbånd. Men hvilken udbyder skal du vælge?
Læs mere