KKIK har dårlig sikkerhed
Monday, July 26th, 2010UPDATE: Problemet er løst, se bunden.
Jeg sad og kiggede på kollegieværelser på Kollegiernes Kontor i Københavns hjemmeside (KKIK), hvor jeg skal til at oprette mig som bruger. Man skal udfylde en masse personlig information, både navn, bopæl og CPR-nummer. Jeg ligger dog mærke til at siden hvor man udfylder CPR-nummer ikke er krypteret, og begynder at undersøge det nærmere.
Jeg undersøgte siden, kastede tilmeldingssiden igennem Wireshark på en virtuel maskine, og bekræftede min frygt: DE SENDER AL DATA I KLAR TEKST (OGSÅ PERSONFØLSOMME FELTER!)
Dette er i modstrid med lovgivningen, og man må ikke sende eller opbevare CPR-numre ukrypteret. Det gør det muligt for ondsindede personer at lave et såkaldt Man-in-the-middle (MITM) angreb, og få fat i personfølsom data meget nemt.
Her er hvad jeg gjorde for at bekræfte at dataen bliver sendt ukrypteret over nettet:
1. Jeg gik ind på deres tilmeldingsside, og forsøgte at oprette en bruger med følgende falske oplysninger:
2. Jeg installerede og åbnede Wireshark, trykkede på “Record” for at optage pakker, og trykkede send på KKIK’s hjemmeside. Og kiggede så pakkerne igennem for data. Jeg fandt meget hurtigt hvad jeg ledte efter:
Snak med datatilsynet
Jeg ringede så efterfølgende til Datatilsynet, og fik fat i en derinde. Jeg fortalte hende historien, og så spurgte hun om det var en offentlig enhed eller et privat firma (Betyder dette noget? Det er personfølsom data der er ukrypteret!).
Efterfølgende mente hun så at jeg ikke kunne se om det var krypteret eller ej, da nogen hjemmesider ikke viser at man benytter HTTPS. Jeg spurgte om hun kunne uddybe dette, det kunne hun ikke. Hun sagde så at jeg skulle tage kontakt til KKIK, og gøre dem opmærksom på problemet.
Snak med KKIK
Jeg snakkede kort med KKIK, og de mener at man bare kan lade være med at udfylde feltet, det er nemlig ikke krævet at du udfylder feltet. Problemet er at når du først har trykket på feltet, ændrer de input-feltets style, og man kan ikke længere se om feltet er krævet eller ej.
Men det er meget klart: Vil man modtage CPR-numre (krævet eller ej) så skal det ske over HTTPS.
Betyder det at de omgår loven ved ikke at kræve feltet udfyldt? Og er det så iorden at sende CPR-numre i klar tekst over internettet?
Eftersom de ikke ville anerkende at de gjorde noget forkert, og jeg godt kunne se at jeg kom til at være kontakt person mellem KKIK og Datatilsynet tog jeg kontakt til journalisterne på Version2.
UPDATE: Dagen efter firmaet bag blev opmærksom på problemet var det fikset, og hele siden var krypteret. Det virker ikke som om KKIK anede hvad de talte om, og bare prøvede at spise mig af med en undskyldning.