Datatilsynet har intet at udsætte på de fejl, som mikrobetalingssystemet Valus udsatte sine brugere for ved åbningen i maj. Det fremgår af en frisk afgørelse fra tilsynet.
Tumult ved Valus-åbningen
22. maj 2002 kl. 11.00Valus præsenteres på et pressemøde og åbnes straks efter. 22. maj kl. 22.00En læser på Computerworld Onlines debatforum afslører, hvordan man ved at ændre et nummer i internetadressen kan se andre Valus-brugeres betalinger. 23. maj kl. 8.00Den første fejl er rettet. 23. maj kl. 16.41En anden læser afslører i debatforummet, hvordan man kan lægge Valus-serveren ned. Man skal blot trykke på et link, der udfører en Shutdown-kommando. 23. maj kl. 17.04En læser trykker på linket og lægger Valus-serveren ned. 23. maj kl. 17.06En anden læser trykker på linket. 23. maj kl. 17.15Den sårbare server erstattes med en statisk side, der ikke kan angribes. 23. maj kl. 17.15-02.00Serveren ses efter for fejl, hvorpå den sættes tilbage i drift. Betalingssystemet er fortsat tilgængeligt. 23. maj-26. majAngrebene tager til i styrke. Nogen opdager, at Valus-systemet er todelt og prøver at angribe betalingssystemet, hjertet i Valus, dog uden held. Valus logger hundredetusindevis af scanninger og angrebsforsøg. Ingen af disse angreb lykkes dog. |
Et andet hul betød, at en bruger med en speciel kommando, der blev afsløret i Computerworld Onlines debatforum, kunne lukke en af Valus-serverne.
I et syv sider langt brev, som Computerworld Online er i besiddelse af, forklarer Den norske Bank, der ejer selskabet bag Valus, hvad der gik galt i dagene efter åbningen af Valus den 22. maj.
Forklaringen er en lang gennemgang af, hvordan sjusk hos de norske web-udviklere og en dårlig netkultur fra brugernes side, hvor én sikkerhedsfejl udløste en ufattelig mængde angreb for at finde nye sikkerhedshuller, gav Valus den værst tænkelige fødsel.
Den norske Bank fremhæver, at kun testpersoner fra banken selv og dens partnere - softwarefirmaet og datterselskabet Netaxept samt konsulentfirmaet Accenture - blev afsløret med navns nævnelse, når de overførte penge til hinanden.
Menneskelig fejl
De fleste transaktioner, som enhver bruger kunne se, indeholdt blot oplysninger om, at en anonym person havde købt for eksempel en ringetone hos TV2.dk.
- Programmeringsfejlen blev ikke afdækket på grund af en fejl i såkaldte testscript og testbetingelser, og fordi en særskilt test ikke blev gennemført igen. Fejlen skyldes en menneskelig fejl, hvorfor rutinerne for gennemgang af testplaner, testbetingelser og relaterede processer er blevet skærpet, skriver Den norske Bank i brevet til Datatilsynet.
Datatilsynet synes ikke, at det ud fra "konsekvensen og omfanget af den konstaterede brist og bankens håndtering af de nævnte hændelser" er "grundlag for at udtale kritik af Den norske Bank."
| Systemskitse over Valus. Valus består af to adskilte dele. Informationssiderne kunne kontrolleres udefra, men det ramte aldrig det fatale betalingssystem, siger Den norske Bank, der vedlagde denne skitse til sit brev til Datatilsynet. Grafik: IDG. |
Fejlen, der lukkede Valus-informationssiderne, blev afsløret under et af de mange hundredtusinder af angreb og angrebsforsøg, der fulgte de første sikkerhedshuller.
Men systemet holdt skansen, da de første fejl var rettet.
Forbrugerombudsmanden har også modtaget en redegørelse fra Den norske Bank, men har endnu ikke besluttet, om Valus-fejlene har udsat brugernes kontooplysningerne for nogen risiko.
Valus-systemet blev på et tidspunkt lukket ned kortvarigt, fordi Den norske Bank ville være helt sikker på at have en brugbar log-fil over alle hackerangrebene. Den log-fil blev overdraget til politiet, der foreløbig har rejst fire sigtelser og fået en hacker dømt.
Relevant link:
