Hopp til navigasjon Hopp til innhold
Hackeren ITavisen.no har vært i kontakt med hevder han har funnet store svakheter på mange norske nettsider. Felles for mange av dem er at de bruker løsninger levert av det samme norske selskapet. (Ill.: Ill: Per Ervland/ITavisen)

Norsk nettbutikk-leverandør grisehacket på 5 minutter

Oppdatert: ITavisen avslører: Tusenvis av kontoer rammet.

ITavisen.no har fått demonstrert at et knippe norske nettbutikker har svært dårlig sikkerhet.

ITavisen.no gjør våre lesere oppmerksomme på at vi ble tipset om hackingen av personen som avdekket hullene. Vi presiserer også at samme person hverken har krevd kompensasjon eller krav om offentliggjøring av informasjonen som fremkommer i denne artikkelen.

Oppdatert, 14:37, 24.10.12:

Følgende melding er nå å lese på Demostore.no: «Sidene er midlertidig nede Vi foretar flytting av sidene til ny server, og ber dere prøve igjen senere.»

Endringene medfører at noen, om ikke alle demostores-kundenettsider er utilgjengelige, blant annet NFFs offisielle nettbutikk.fotball.no.

Skummelt enkelt

I løpet av fem minutter fikk vi demonstrert hvordan hackeren fikk tilgang til CMS-leverandørens filsystem-servere med full FTP-skrivetilgang, samt tilgang til brukerdatabasene med tilhørende brukernavn, passord og adresser.

I alt ble seks norske nettbutikker (inkludert demonstrasjons-butikken) svært enkelt hacket. Dette fordi mange, om ikke alle, butikkene bruker et kjent innloggingssystem levert av samme selskap.

Tusenvis av nordmenn utsatt

Det eneste som skal til for å hente den første informasjonen er å prøve seg frem med ofte-brukte URL-er. Dette første steget gjør det enkelt å hente ut mer informasjon som til slutt ender med full tilgang til selskapets database og FTP.

Kombinasjonen ikke-krypterte kundepassord og et mye brukt innloggingssysstem gjør det svært enkelt for hackere å hente ut personinfo om norske kunder på en rekke tjenester, nettsider og butikker.

Farlig situasjon

I alt har hackeren en tekstfil på 54MB med over 200 000 brukernavn, e-poster og passord-kombinasjoner – alt lagret i klartekst. Hackeren oppsummerer de fem minuttene han brukte på å hacke CMS-leverandøres demo-butikk: «non hashed passwords… shame on you! time spent: 5 mins. Full control over database, ftp, all the user passwords *facepalm*»

Skummelt enkelt

ITavisen.no kan bekrefte hackingen beskrevet ovenfor som altså ga full tilgang til FTP og databaser med brukernes passord i klartekst, berører Demostore AS.

Vi har sendt Demostore AS e-post, og ringt daglig leder som også er styreleder (nummer kun tilgjengelig via bedriftsdatabaser), men har i skrivende stund ikke fått svar. Det finnes ikke e-post-adresser til kontaktpersoner i selskapet på demostore.no, kun henvisning til [email protected] og et faksnummer.

Selskapet leverer CMS-løsninger til en rekke norske nettsider:

* shop.demostore.no
* nettbutikk.fotball.no
* babracing.no
* litenkuling.no
* lectinect.no
* vestfoldaudio.no

Disse nettsidene er allerede kompromittert av personen vi har vært i kontakt med. Det er også mulig flere nettsider er berørt om det skulle vise seg at de bruker samme Demostore-løsning som blant annet nettbutikk.fotball.no og babracing.no, men dette er ikke bekreftet.

Følgende nettsider listes opp som referanser på demostore.no:

* sikkerhetsbutikken.no (Gjensidige)
* lectinect.no (Lectinect)

– Jeg blir truet

Når vi spurte hackeren om han har rapportert den kritikkverdige sikkerheten til de berørte selskapene er svaret at personen har sett seg lei på å ikke bli tatt seriøst, og istedet skal personen ha blitt truet med advokater og påtale.

Foto.no-sjef David A Bruun-Lie avkrefter til ITavisen.no at de ble kontaktet i forkant av hackingen.

Hackeren: – Jeg har sendt over 100 rapporter, de fleste til norske nettsider og utviklere. Jeg har avdekket noen virkelig grusomme design.

Det ser ut til at det er ganske vanlig at utviklere som selger CMS/nettbutikk-løsninger («Content management system») har alle sine nettbutikk-kunder på en enkelt-database-server, og med en enkelt database-konto som administrator.

Hackeren påpeker at mange nettbutikker ønsker skreddersydde løsninger, og at man som regel alltid finner noen hull et eller annet sted:

– En eneste SQLI-forespørsel (SQL injection) på en av disse sidene gir tilgang til å laste ned hele databasen, og dette berører hundrevis av nettsider, hevder hackeren ovenfor ITavisen.no.

Foto.no bekrefter hacking

Kort tid etter at ITavisen.no ble gjort oppmerksomme på svært alvorlige sikkerhetsbrister hos Foto.no (Foto.no bruker ikke samme CMS-system tidligere omtalt i denne saken), bekreftet i går nettsiden at de har blitt utsatt for hacking, og at «brukerdata kan være på avveie»:

«Dette innebærer at alle medlemmer må etablere nye passord for å få tilgang til sine brukerkonti.

OBS!!! Vi har IKKE sendt ut en epost med tittel » Verify this email address» som tilsynelatende er sendt fra oss. Vi ber dere slette denne eposten umiddelbart! Nytt passord kan lages via Denne linken»

Foto.no beklager ovenfor sine brukere:

«Foto.no arbeider i høyt tempo med å kartlegge hva som kan ha forårsaket «angrepet». Slikt skal ikke gjenta seg.

Vi understreker at Foto.no oppbevarer ingen bankkortinformasjon om sine medlemmer. En stor beklagelse til alle medlemmer for bryderiet dette har medført!»

Dette sier foto.no

Til ITavisen.no bekrefter administrator og kodeansvarlig for nettsiden, David A Bruun-Lie, at de har blitt utsatt for hacking, men avkrefter at de ble kontaktet av hackeren før dette var et faktum.

Bruun-Lie presiserer også at nettsiden ikke lagrer bilder i privat-kontoer – det er kun snakk om bilder som alltid har offentlig visning.

«Vi gikk til affære allerede ifjor, dog ble det dessverre ikke tatt gode nok tiltak. Det er sterkt beklagelig at dette har skjedd.

Vi har ingen tjeneste for å legge opp ikke-synlig materiell på foto.no så det er ingen private bilder på avveie.

Vi er svært lei oss for det som har skjedd og vil gjøre alt som er i vår makt til å fikse på sikkerheten.

Foto.no er et lite selskap med begrensede ressurser. Jeg er eneste utvikler og har utviklet hele foto.no på min fritid i 16 år. Vi har heldigvis vært skånet for slikt som dette. Nå har det skjedd og vi tar det svært alvorlig!»

Ble kjent med sårbarhetene i fjor

Nettsiden ble allerede i fjor gjort oppmerksomme på at de kunne hackes, men at sikkerheten skulle være godt nok ivaretatt. Bruun-Lie skrev den gang på tjenestens offentlig fora:

«Passordene ligger obfuskert i databasen vår, med andre ord ikke klartekst. Det er en hash-algoritme som ligger i en kompilert c-snutt som jeg også kan bruke til å reversere hash’en.

Grunnen til at dette er sånn er de utallige henvendelsene vi fikk fra folk som hadde glemt passordet sitt og vi synes det var greit å ha en tjeneste der folk kunne få tilsendt passordet sitt når de hadde glemt det.»

Bruun-Lie varslet allerede sent i fjor at de jobbet med å sikre sine tjenester ytterligere, men dette skjedde altså ikke før de ble hacket:

«Kan likevel legge til at jeg jobber med å se på innloggings/passordprosedyrene der vi 1) vil kryptere passordene sikkert

2) Lage tjeneste der man får tilsendt et nytt autogenerert passord om man har glemt sitt gamle

3) gå vekk fra brukernavn for innlogging og bare bruke epost + passord

4) frigjøre brukernavnene til alle ikke-gullmedlemmer slik at gullmedlemmene kan få velge evt. nåværende opptatte portfolioadresser sittnavn.foto.no som tas opp av de som ikke har en aktiv portfolioadresse», het det i svaret til brukerne den gang.

Har kundene rettigheter?

Hvilke rettigheter, om noen, har norske nettbutikk-kunder i forhold til personvern? Er norske nettbutikker lovpålagt å sikre sine kunder på best mulig måte? Vi spurte Forbrukerombudet. De oppfordrer norske kunder til å lese «Er nettbutikken til å stole på?» Men akkurat denne teksten stiller altså ingen krav til selskapene som leverer CMS-løsninger.

Dette får vi vite av Datatilsynet som har ansvaret for å forme personvern-lovgivningen på nett:

«Nettbutikker skal følge personopplysningsloven på dette feltet. Det er spesielt personopplysningslovens § 13 om informasjonssikkerhet som er aktuell her.

Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.

Datatilsynet har i mange tilsynssaker påpekt at det ikke har vært tilfredsstillende informasjonssikkerhet.»

De peker oss til flere saker, blant annet en oppsummeringsrapport fra tilsyn fra 2009, og en spesifikk sak mot TVNorge WebTV.

I tillegg referer Datatilsynet til artikkelen «Sikker kundehåndtering på Internett».

Ikke bruk samme passord flere steder

Det faktum at tydeligvis mange mindre norske nettsider, inkludert norske nettbutikker har dårlig sikkerhet, understreker bare viktigheten av å ikke bruke samme passord og brukernavn flere steder.

Mange av nettsidene og tjenestene lagrer ikke nødvendigvis veldig sensitiv personinformasjon, men klarer en hacker å skaffe tilgang til en eller flere tjenester så enkelt, er sjansen stor for at brukernavnene og passordene kan misbrukes også på andre nettsider.

Se også Foto.no-brukeropplysninger på avveie (DinSide.no)

Stikkord: hacker, hackersaken, nettbutikk, personvern