Artikel top billede

Radu Dragusin er assisterende lektor på Københavns universitet med speciale i søgemaskiner. Foto: Nicolai Devantier.

It-forsker på KU fandt enorme mængder følsomme data

En dansk it-forsker falder ved et tilfælde over hundredetusindevis af følsomme data. Han er ikke hacker, og ville håndtere opdagelsen på etisk vis og helt efter bogen. Men det var lettere sagt end gjort.

Læs også:
Her er it-eksperternes hemmelige passwords

Egentlig var han bare på udkig efter interessant it-læsestof, men han endte med at få adgang til en database med mere end et hundredetusinde brugernavne med tilhørende password til nogle af de helt tunge drenge i it-branchen.

"Jeg begyndt faktisk at ryste på hænderne, da det gik op form mig, hvad jeg havde opdaget," fortæller Radu Dragusin til Computerworld, da vi mødes over en kop kaffe for at få hans utrolige fortælling.

Han besluttede sig med det samme for, at han ikke ville sættes i bås med hackere, hacktivister eller andre fra den mere dunkle side af it-verdenen.

Han ville ordne tingene på en ordentlig og etisk forsvarlig måde, men det viste sig faktisk mere besværligt end det måske lige lyder til.

Radu Dragusin kommer oprindelig fra Rumænien, men efter at have afsluttet sit it-studie på Københavns Universitet, er han blevet tilknyttet universitetet som assisterende lektor.

En (næsten) helt almindelig dag

Radu Dragusin havde fået adgang til yderst følsomme data på medlemmerne i IEEE, som er en af verdens største organisationer i forbindelse med udvikling af standarder og fremme af videnskabelig og uddannelsesmæssig udvikling indenfor elektronik, kommunikation og datalogi.

IEEE's medlemmer er således højt specialiserede personer i disse brancher.

I praksis betyder det, at oplysningerne tilhører ansatte i Forsvaret, Google, Apple, IBM og flere lignende industrigiganter. Organisationen har mere end 415.000 medlemmer over hele verden og flere hundrede i Danmark.

Hele episoden opstår, fordi Radu Dragusin er meget begejstret for at læse de forskningspublikationer, som IEEE udgiver. Han bruger dem blandt andet i sit arbejde på universitetet.

Den 18. september leder han således efter gratisudgivelser på en af IEEE's FTP-servere.

"Jeg klikkede mig frem til en mappe, der udgav sig for at indeholde publikationer," fortæller han.

"Her hentede jeg en fil, som jeg åbnede, og til min overraskelse lignede det en log-fil fra en Apache-web-server. Jeg blev selvfølgelig meget nysgerrig, for det var helt uventet," fortæller han, og fortsætter:

"Ved en nærmere gennemgang dukkede massevis af passwords og brugernavne frem på listen. Jeg tænkte UPS, det er vist ikke efter bogen, det her."

Læs også:
Her er it-eksperternes hemmelige passwordsflere

Jeg vidste, at det her var alvorligt

Herefter blev Radu Dragusins gode intentioner sat på en prøve. 

"Nu skulle jeg finde ud af, hvordan man håndterer den situation. Jeg vidste, at det var alvorligt. IEEE er en stor organisation, og medlemmerne er vigtige folk. Jeg anede ikke, hvordan jeg skulle knække den nød."

"Det første, der sprang i mine tanker var, at jeg havde læst, at sikkerhedsfolk var blevet anklaget for at være hackere, selv om de blot havde fundet en sårbarhed. Det ville jeg for alt i verden undgå, og jeg var nervøs, men jeg ville også gerne fortælle om sårbarheden," fortæller han hen over kaffen.

Trussel fra IEEE

Derfor købte han domænet ieeelog.com med henblik på at skrive om sin opdagelse.

"Jeg ville gerne beskrive, hvad som var hændt, så folk og medlemmerne i IEEE kunne få en forståelse af hvad, der var sket. Men først skulle sårbarheden naturligvis lukkes."

Desuden rettede han henvendelse til direkte til IEEE.

"Jeg kiggede data igennem og sender en henvendelse til IEEE med en beskrivelse af problemet."

Efter fem timer blev sårbarheden rettet af IEEE.

"Da tingene var kommet på plads, ventede jeg yderligere 24 timer, før jeg publicerede min viden på mit domæne og på Slashdot.com, der er en kendt it-webside. Jeg spurgte udtrykkelig IEEE, om de ville fortælle, hvornår tingene var rettet, men der kom aldrig et svar," fortæller han.

Læs også: Her er it-eksperternes hemmelige passwords

Trussel fra IEEE: Fjern din viden fra nettet

Først tre dage senere får Radu Dragusin en noget overraskende besked fra IEEE.

"Pludselig beder IEEE mig om at fjerne min webside og det indhold, der beskriver sårbarheden. Jeg havde naturligvis ikke lagt følsomme data ud, kun fortalt om forløbet, så jeg var meget forundret over, at de bad mig om at slette siden. Jeg var helt ærlig omkring min opdagelse og stod frem med navn og e-mail, så folk kunne se, hvem jeg var."

"Forklaringen fra IEEE var, at de var bekymrede for medlemmernes privacy."

Gode diskussioner

Men sådan skræmmer man ikke en lektor ved hovedstadens universitet. Radu Dragusin fjernede ikke sine optegnelser, og historien spreder sig ud over hele kloden.

Reaktionerne kommer på fora og i debattråde, hvor hans håndtering af episoden roses.

"Jeg havde dog håbet på lidt mere omtale i Rumænien, hvor jeg kommer fra," siger han grinende.

"Rumænien har et lidt dårligt rygte, når det kommer til it-kriminalitet, det ville jeg gerne have rettet lidt op på, men det blev kun til en enkelt artikel i hjemlandet."

"Men episoden har givet anledning til nogle gode diskussioner om it-sikkerhed på nettet, og det er jeg glad for. Det var hele hensigten," lyder det fra Radu Dragusin.

Efterfølgende har Radu Dragusin i øvrigt fået masser af mails fra personer, der har vist interesse for at købe eller på anden vis får adgang til det indhold, han har opdaget.

Læs også: Her er it-eksperternes hemmelige passwords




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere


Analytics, BI og data science: Data-behandling i realtid

Datadrevne løsninger er godt på vej til at vinde indpas i næsten alle industrier - og med god grund. For der er store muligheder i at kunne forstå, fortolke og reagere lynhurtigt på de store datamængder, som alle organisationer genererer. På dette seminar kan du høre om nogle af de bedste eksempler inden for praktisk anvendelse af avanceret data-analyse, hvordan du kommer i gang, og hvordan du kan høste udbytte.

22. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere