Stort galleri:Tag med til kåringen af Årets CIO 2021 - og se hvordan Morten Holm Christiansen blev udnævnt

It-brist: Scor.dk streamer privatporno til alle

En sikkerhedsfejl hos Scor.dk betyder, at alle og enhver gratis kan se medlemmernes private video-optagelser uden selv at være medlem eller logge ind på kontakt-portalen. En klassisk fejl, siger sikkerhedsekspert.

Et hul i sikkerheden hos dating-portalen Scor.dk betyder, at medlemmernes private pornooptagelser frit kan ses af enhver med internetadgang og en almindelige web-browser.

Og det uden selv at logget ind på Scor.dk eller at være registreret som medlem.

Hvis man først kender en enkelt webadresse til et videoklip er det ved at ændre på tal og navne i adressen muligt at se alle videooptagelser på Scor.dk. Linket skal blot tastes ind i eksempelvis Internet Explorer, som så vil åbne optagelsen i en mediafspiller.

Scor.dk er ellers baseret på medlemskab. Portalen har flere end 110.000 brugerne, der kan chatte med hinanden, se hinandens billeder og video-optagelser eller få hinandens kontaktoplysninger.

Klassisk fejl

- Det er en klassisk fejl på et website, at valideringen ikke virker ordentligt, så du uden at være logget ind kan se de filer, som ligger på siden, siger sikkerhedsekspert Ulf Munkedal fra rådgivningsfirmaet Fortconsult.

Han mener, at der kan være tale om en opsætningsfejl på Scor.dk's server. Rigtigt opsat burde den sikre, at kun medlemmer kan få adgang til de pågældende videooptagelser.

Ifølge Ulf Munkedal er netop firmaernes webapplikationer det område, hvor sikkerhedsfirmaet i øjeblikket finder flest sårbarheder.

- Virksomhederne er blevet gode til at sikre deres udstyr, mens webapplikationer er et område, hvor de ikke har en producent i ryggen, som laver rettelserne, siger Ulf Munkedal.

Hul i webapplikationerne

Derfor finder firmaet sikkerhedshuller i næsten hver anden testede webapplikation. Huller som giver adgang til fortrolige informationer om brugerdata eller kundeoplysninger, fortæller Ulf Munkedal.

Ulf Munkedal omtaler fejlen hos Scor.dk som en klassisk security by obscurity-fejl, hvor den eneste reelle sikkerhed består i, at brugeren ikke ved, hvor han skal lede efter hullerne i sikkerheden.

- Problemet er bare, at det ikke er den bedste sikkerhed at gå ud fra at en tyv overser en dør, som står på vid gab, siger Ulf Munkedal.

Hos Scor.dk fortæller vagthavende supporter Lisbeth Rokkedahl, at de hjemmelavede videoer kun skal kunne ses af medlemmer, som er logget ind og har betalt medlemskab.

Lukker hullet

Scor.dk blev ifølge Computerworlds oplysninger første gang oplyst om sikkerhedshullet i starten af juni i år.

Men det afviser Thomas Hesser, som er udvikler hos Scor.dk. Han har ikke hørt om problemet før, fortæller han. Men han kan godt forstå, hvis folk er bekymrede.

- Vi har krypteret selve url'en, som genererer adgangen til videoklippet. Efter min mening kræver det mere end almindelig it-indsigt at regne ud hvor videoklippene ligger henne.

Alligevel fortæller Thomas Hess, at han med det samme vil rette sikkerhedsfejlen.

- Det er jo ikke til fordel for os, hvis folk er utrygge ved at lægge deres videoklip på Scor.dk, siger Thomas Hess.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Webinar: Tør du håndtere cyberberedskabet på egen hånd?

Der er akut behov for at øge visibilitet, indsigt og overblik, hvis man som virksomhed skal have en chance for at afværge og minimere skaden ved cyberangreb. Trusselsbilledet udvikler sig imidlertid så hastigt, at opgaven let vokser selv større virksomheder, med en eller flere dedikerede IT-sikkerhedsansvarlige, over hovedet. Bliv klogere på dette seminar.

22. september 2021 | Læs mere


GDPR i dagligdagen: Vedligeholdelse og tilsyn

Det er efterhånden ved at være noget tid siden, at vi blev introduceret til GDPR, og alle organisationer har med tiden fået styr på dataflow og håndteringen af persondata i organisationen. Mange valg har skulle træffes og det har krævet mange ressourcer. Få overblik over de seneste nye tiltag og udmeldinger fra Datatilsynet samt overblik over de seneste regler, og hvordan du håndterer dem.

23. september 2021 | Læs mere


Årets CISO 2021

I både offentlige og private organisationer er der behov for at uddanne, rekruttere og fastholde de bedste it-sikkerhedsfolk, fordi sikkerhedsudfordringerne konstant forandres. Derfor sætter vi fokus på best practice inden for it-sikkerhed, og vi vil samtidig fremhæve de personer i Danmark, der gør et ekstra stykke arbejde for at styrke den digitale sikkerhed. Vi hylder derfor årets CISO 2021 på denne konference.

05. oktober 2021 | Læs mere






Premium
Kæmpe it-problemer i det danske skattevæsen: Har kun kortlagt it-beredskabet for syv ud af 230 it-systemer
Statsrevisorerne skyder en sønderlæmmende kritik af Skatteministeriets it-beredskab af sted. It-beredskabet for kritiske forretningsprocesser "er utilfredsstillende og utilstrækkeligt," lyder det. I værste fald kan det ende med, at staten ikke kan opkræve skatter og afgifter, udbetale løn, SU, sociale ydelser og pension.
CIO
“Der har simpelthen været for få gråhårede medarbejdere involveret i den her udviklingsproces. Folk der ved, hvad der skal til”
"Vi havde ansat nogle unge mennesker i sandaler og med langt skæg for at bryde med det traditionelle it-setup. De her vakse unge mennesker fik også ret hurtigt bygget en supersmart applikation til virksomheden. Men den brager ned, da vi ruller den ud, og den fylder cirka 1,5 procent af alle transaktioner."
Job & Karriere
35-årig kvinde gik amok på hjemmekontoret efter fyring: ”De fjernede ikke min adgang, så jeg slettede p-drevet lol”
En 35-årig kvinde står anklaget for at have slettet 21,3 gigabyte data fra fællesdrevet efter, at hun blev fyret. Nu risikerer hun op til 10 års fængsel.
White paper
Undgå nedbrud når der kommer opdateringer til din Dynamics 365
Hyppige opdateringer af din Dynamics 365 sikrer hurtig adgang til nyeste funktioner og opdateringer. Men metoden rummer også risici. Læs her, hvordan du minimerer dem.