Vind 100.000 kroner og få virus på din computer og dine personoplysninger udstillet på en pivåben server i Kuala Lumpur.
Sådan lyder et tilbud fra Sonofon til danskere, som deltager i firmaets højtprofilerede flashspil Sonofonhuset.
Problemet er, at serveren bag Sonofon-spillet er så usikker, at spillets opsætning og styring er frit tilgængelig for enhver, som ønsker at ændre på spillets egenskaber eller kode.
"Det er fuldstændig piv-hamrende åbent. Der er intet brugernavn og password," fortæller Peter Kruse, fra sikkerhedsfirmaet Csis.
Den dårlige sikkerhed bag spillet gør udfordringen ved at vinde minimal. På grund af den usikre server er det nemlig nemt at vinde, mener Peter Kruse.
"Du kan snyde på alle måder. Du kan ændre level, hvad du opnår af point, du kan ændre hvor data bliver sendt hen og oven i købet indholdet af data. Men du kan også levere skadelig kode, hvis det er det du vil," siger Peter Kruse.
Stor sikkerhedsrisiko
Dermed gør spillet det muligt at inficere andre brugeres computere med skadelig kode eller simpelthen bruge Sonofons spilserver til et helt andet formål.
Sonofon leverer via serveren oven i købet adgang til et nemt brugerinterface, som giver kontrol over serveren uden brug af indviklet kodelinie, forklarer Peter Kruse.
Den frie adgang til Sonofons spilserver i Kuala Lumpur giver fuld adgang til alle mapper med kildekoden til julespil på Sonofons hjemmeside. Og sikkerhedshullet giver gode muligheder for at sprede skadelig kode ved hjælp af serveren.
"Du kan ændre koden i Shockwave Flash og indlægge eksterne links, som eksempelvis peger hen mod det nye Shockwave Flash exploit eller de ny exploits i Internet Explorer. Det tager to minutter," siger Peter Kruse.
"Fuld mappelistning. Fuld adgang til managementsystemet og ingen passwords. Jeg synes, det er kikset, at Sonofon ikke har været inde og tjekke," siger Peter Kruse.
Derfor mener Peter Kruse, at Sonofon bør rette problemet så hurtigt som muligt og herefter validere leverandøren af julespillet grundigt.
"Jeg synes, at Sonofon bør gøre sig tanker om, hvad det betyder, at man sender danske brugerdata til Kuala Lumpur," siger Peter Kruse, der ikke mener at kunne finde oplysninger til brugerne om denne videregivelse af oplysninger til et fremmed land på Sonofons hjemmeside.
Datatilsynet bekymret
Samtidig er serveren sat således op, at brugere, der indtaster deres navn, telefonnummer og email for at deltage i konkurrencen om de 100.000 kroner, risikerer at få deres data spredt for alle vinde på internettet.
Det betyder i praksis, at enhver kan høste personoplysninger om andre deltagere i spillet fra den usikre server i Kuala Lumpur.
Disse oplysninger kan misbruges til spam, phishing eller sælges videre på det sorte marked.
"Man skal være forsigtig med at spille det her julespil. Det ser sjovt ud, men man skal være meget opmærksom på, hvor de her ting lander henne," anbefaler Peter Kruse.
Datatilsynet ind i sagen
Og netop spredningen af personoplysninger får nu Datatilsynet til at interessere sig for Sonofon og julespillet.
"Det tyder på, at det ikke er, som det skal være, og at der er en sikkerhedsbrist. Derfor har vi i dag skrevet til Sonofon og stillet dem nogle spørgsmål," siger Lena Andersen, der er chefjurist hos Datatilsynet.
Hun understreger, at der ikke er tale om spredning af de allermest følsomme personoplysninger.
"Men det er ikke meningen, at disse oplysninger skulle være tilgængelige. Man giver dem til Sonofon, ikke til offentliggørelse. Det kunne umiddelbart se ud til, at der er en lille sikkerhedsbrist her," siger Lena Andersen.
Computerworld stillede tirsdag eftermiddag Sonofon en række spørgsmål til sagen. Men firmaet er endnu ikke vendt tilbage med svar eller en kommentar.
Er Sonofon klar over, at selskabet sender deltagernes telefonnummer, navn og email ud på nettet, når de spiller det her spil?
Er I klar over, at den server, som spillet afvikles fra, befinder sig i Kuala Lumpur?
Mener I, at serveren som sådan er sikker nok?
Har I undersøgt, om spillet og sikkerheden lever op til persondataloven?
Hvad er årsagen til, at I har valgt den her løsning?
Hvis I finder, at der er tale om et problematisk sikkerhedniveau, er det så noget I har tænkt jer at rette på?
Sonofon har onsdag fjernet spillet fra firmaets onlineunivers, mens den bagvedliggende server har fået tilføjet brugernavn og password.
Opdateret
I artiklen fremgår det, at serveren bag Sonofons julespil befinder sig i Kuala Lumpur. Men ifølge Sonofons oplysninger befinder serveren sig i Danmark. Dette er bekræftet af et hostingfirma.
Serveren bag spillet befinder sig på domænet sonofonhuset.titoonic-asia.com. Domænet titoonic-asia.com er ifølge whois.net registreret i Kuala Lumpur.