Computerworld bragte tidligere i dag en interessant historie omkring DK-Hostmaster, baseret på en bruger der har fundet en alvorlig svaghed i DK-Hostmaster’s system.
Problemet ligger i at DK-Hostmaster’s fakturaer kan tilgås via et php-script med kontonummer og fakturanummer angivet i URL’en, og ved brug af kontonummeret og gæt på det 7-cifrede fakturanummer (via eksempelvis et script der går fra værdien X til Y - brute force attack) kan man så ramme plet og få vist en kundes faktura. Problemet herefter, er at kundens bruger-id (tidligere handle) samt pinkode fremgår af fakturaen, og man således har fuld adgang til administration af domænet. Ved et whois opslag på et domænenavn får man kun handle, men der er ligeledes mulighed for at finde kontonummeret ud fra et handle på DK-Hostmasters webside.
Fejlen blev opdaget af Asger Lund Pedersen ved at han fandt et direkte link til en kundefaktura via Google, eftersigende indekseret fordi kunden selv havde uploadet fakturaen til sin webside. Dette gjorde fik Asger til at kigge nærmere på sikkerheden, og efterfølgende komme frem til den skræmmende konklusion at sikkerheden er i bund.
DK-Hostmasters reaktion
Thumbs up til Asger for at finde så alvorligt et sikkerhedshul, den slags kan jo desværre ske men man måtte jo forvente at DK-Hostmaster straks ville rette det. Det var dog ikke tilfældet.
Computerworld kontaktede i forbindelse med historien DK-Hostmaster, som indrømmer at det er muligt, men slet ikke finder det alvorligt og mener at systemet er sikkert nok - et af argumenterne er tilmed at det er hvad man kan forvente til de lave priser der er på dk-domæner.
DK-Hostmaster’s kommunikationsdirektør, Lotte Seheim, har således bragt sig selv på niveau med DK-CERT’s tidligere direktør, Preben Andersen, der i marts ligeledes kom med et meget uvidende svar til Computerworld.
Fremtiden
Jeg er dybt forarget over DK-Hostmaster’s reaktion, men skal samtidig erkende at jeg tror de indser at de tager fejl og efterfølgende får muligheden fjernet, hvilket kan gøres på mange forskellige måder og på ingen måde vil kunne påvirke prisen på domænenavne.
