Artikel top billede

Ups: Brugere fik fuld kontrol over dansk nyhedssite

En mystisk fejl betyder, at en række tilfældige besøgende onsdag fik administrator-rettigheder over et af landets store fagblade på nettet.

Fagbladet Journalisten er ramt af et mystisk sikkerhedsproblem på netmediet Journalisten.dk som får sikkerhedseksperter til at rive sig i håret.

Den mulige fejl betyder, at besøgende, der tilfældigt surfer forbi, får fuld administrator-rettighed over netmediet. Uden at logge ind har gæsten frie hænder til at skrive artikler, ændre sidens opsætning, give eller spærre adgang til navngivne brugere og meget andet.

På den måde er det muligt at skrive eller ændre indlæg, blogs, artikler, rettigheder og udgivelsestidspunkt for alle personer eller historier der er listet i cms-systemet.

Journalisten.dk, der drives af Dansk Journalistforbund og er web-udgaven af fagbladet for forbundets knap 14.000 medlemmer, kører på en Apache-server med det anerkendte cms-system Drupal, der anvendes af en række aviser på nettet.

Computerworld blev opmærksom på problemet hos Journalisten.dk onsdag morgen og tog kort efter kontakt til en ekspert fra sikkerhedsfirmaet FortConsult for at få klarlagt årsagen til den mystiske fejl.

Cookie-fejl

Efter timers analyse onsdag er årsagen imidlertid stadig omgærdet af mystik. Foreløbig ligger det fast, at fejlen er relateret til en cookie, der giver administrator-rettigheder.

"Jeg har aldrig set denne type problem tidligere," siger Peter Österberg, der er seniorkonsulent i sikkerhed hos FortConsult.

'Umulig' adgang

Spørgsmålet er nu, hvorfor cms-systemet spytter administratorrettigheder ud til tilfældige besøgende, hvem de tilhører, og om problemet er relateret til andre sites, der benytter samme opsætning.

Det sidste er ikke utænkeligt, idet sandsynligheden for at få tildelt en cookie svarende til netop en administratornøgle er 1 til cifferindholdet i en 128-bit kryptering. Det er med andre ord umuligt at opnå disse rettigheder - med mindre der er tale om en fejl.

Alligevel skete det umulige onsdag morgen, da Computerworld besøgte Journalisten.dk uden at logge på. Vi blev af systemet opfattet som administrator med ubegrænsede rettigheder til fuldt og helt at manipulere indhold og rettigheder på alle niveauer.

En efterfølgende anlyse udført i samarbejde med en specialist fra sikkerhedsfirmaet Fortconsult har afdækket, at Drupal tilsyneladende accepterer samme cookie uanset hvilken platform, der benyttes. Således har det både været muligt at tilgå det udbredte cms-system fra Windows- og Linux-baserede maskiner.

Erkender problemet

Det har endnu ikke været muligt at få en kommentar om det kritiske sikkerhedsproblem hos Jens Jørgen Madsen, som er webredaktør for Journalisten.dk.

Men ifølge Journalistens chefredaktør, Jakob Elkær, er man klar over problemet, som man har gjort alt, hvad man kan, for at lukke.

Natten til torsdag blev der arbejdet intenst på sitet, formentlig som led i at forhindre adgangen fra uvedkommende.

Peter Österberg fra FortConsult vurderer, at man i løbet af torsdagen hos Journalisten.dk på serversiden har forsøgt at spore problemet og i den forbindelse har lukket serveren for at løse problemet.

"Hvis det var mig, der blev klar over, at dette problem eksisterede, ville jeg med det samme lukke hele systemet for ikke at risikere, at brugere uden rettigheder ødelægger eller ændrer sitet," siger Peter Österberg.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere


Analytics, BI og data science: Data-behandling i realtid

Datadrevne løsninger er godt på vej til at vinde indpas i næsten alle industrier - og med god grund. For der er store muligheder i at kunne forstå, fortolke og reagere lynhurtigt på de store datamængder, som alle organisationer genererer. På dette seminar kan du høre om nogle af de bedste eksempler inden for praktisk anvendelse af avanceret data-analyse, hvordan du kommer i gang, og hvordan du kan høste udbytte.

22. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere