En to år gammel arv fra et opkøb er kommet tilbage for at hjemsøge hostingfirmaet Cliche, hvor offentliggjorte adgangskoder til 360 domæner stadig findes på internettet.
Firmaet er samtidig kommet under beskydning for at have huller i sikkerheden, men direktør Morten Bonavent mener, at Køge-selskabet er offer for en hetz fra brugerne på hjemmesiden Newz.dk.
Hjemmesiden beretter om, at en af webstedets brugere har fundet et sikkerhedshul på en webserver hos Cliche.
Ved at ændre i et script er det ifølge brugeren muligt via ASP at få adgang til at læse blandt andet systemfilerne på Windows-serverne.
Andre brugere påpeger, at en liste med brugernavne og adgangskoder til 360 domæner findes på nettet og har ligget der i over to år.
Fik sikkerhedshul med i handlen
Ifølge Morten Bonavent er der en god forklaring på begge sikkerhedsbrister.
For to et halvt år siden overtog firmaet et webhotel med en række kunder og Windows-webservere, hvor en alvorlig sikkerhedsbrist blotlagde en ukrypteret fil med adgangskoder.
- Vi ændrede adgangskoderne, men nogle kunder har ændret dem tilbage igen, selvom vi siger, at man aldrig må genbruge et password, der har været offentliggjort, siger Morten Bonavent.
Listen med adgangskoder blev offentliggjort på internettets nyhedsgrupper, Usenet, hvor de stadig kan findes.
En kunde har henvendt sig til Computerworld, efter koderne er blevet brugt til at opnå adgang til hans hjemmeside og udskifte den med web-graffiti. Adgangskoderne er samtidig ændret.
At nogle af adgangskoderne stadig virker, skyldes ifølge Cliche, at brugerne har ændret koderne tilbage til de gamle, efter Cliche havde ændret dem, efter de var blevet offentliggjort.
Selskabet har nu igen ændret koderne.
Tog tid at undersøge konsekvenser
Cliche kritiseres af brugerne på Newz.dk for ikke at have reageret hurtigt nok på henvendelserne om, at der var et muligt sikkerhedshul på deres servere.
Morten Bonavent mener, at han har reageret så hurtigt, som det var muligt i forhold til, hvor stor en opgave det var.
- Vi skulle først have undersøgt, om der var en sikkerhedsbrist, og der var mange ting, vi skulle igennem og tage stilling til. Det tog tid at undersøge, hvilke konsekvenser det havde, at nogen kunne læse systemfilerne, siger Morten Bonavent.
Hostingfirmaet fik blandt andet eksterne folk til at teste, om adgangen til Windows-filerne havde betydning for sikkerheden.
Firmaets konklusion er, at det er en almindelig opsætning på denne type Windows-server, og der ikke er tale om et sikkerhedsproblem.
Skal være i top
Mens Cliche var ved at undersøge den mulige sikkerhedsbrist på Windows, blev sikkerheden i selskabets PHP-systemer også sat under lup af brugerne på Newz.dk.
Et sikkerhedsproblem her ville ramme langt flere af Cliches kunder, da størstedelen af selskabets webhoteller er baseret på Apache og PHP på BSD.
Heller ikke her mener Morten Bonavent, at der findes nogen problemer på virksomhedens systemer, men erkender, at det er svært for et webhotel at sikre sig mod alle tænkelige angreb.
- Der vil altid være hackere, som kan komme ind. Spørgsmålet er, hvor let det skal være for dem. Sikkerheden skal sgu' være i top, siger Morten Bonavent.
