Den fællesoffentlige sundhedsportal sundhed.dk, som rummer oplysninger om alle danskeres sygdomsforløb og sygdomsdiagnoser, har i en kortere periode været ramt af en sikkerhedsfejl.
Fejlen gør det muligt for dygtige phishere og hackere at få adgang til sundhedsinformation om uforsigtige danskere som bider på krogen.
Problemet skyldes en såkaldt cross-side scripting fejl, som tillader, at man indsætter kode direkte på internetsiden hos sundhed.dk
- Det er en helt standard cross-side scripting-fejl, som bliver brugt rigtig meget til phishing-angreb, siger Ulf Munkedal, sikkerhedsekspert hos konsulentfirmaet Fortconsult. efter han på Computerworlds foranledning har kigget på hullet.
Fejlen hos sundhed.dk blev i først omgang konstateret af en Computerworld-læser, som arbejder med programmering.
kontrol med to klik
Fejlen gør det muligt for hackere at få adgang til brugernes sundhedsoplysninger, hvis offeret har installeret en digital OCES-signatur på sin computeren og samtidig lokkes til at klikke på et bestemt link.
Offeret ryger i fælden, hvis han herefter svarer ja til, at sundhed.dk må aflæse hans digitale signatur.
Dermed kan hackeren læse alt om offerets sygehistorie.
Ifølge Ulf Munkedal betyder fejlen heldigvis ikke, at man kan få adgang til befolkningens følsomme data direkte på serveren.
Sendes videre
- Men hullet gør, at serveren sender scriptet videre til en bruger. Og det udsætter brugeren for fare, fordi tilliden til webstedet udnyttes til angreb, siger Ulf Munkedal.
Aligevel havner sikkerhedsproblemet ikke helt oppe i det røde felt, forklarer Ulf Munkedal.
Fejlen kræver nemlig, at brugeren falder i en fælde. Og derfor er det ikke så nemt at ramme en bestemt person.
Hvis det i stedet for sundhedsoplysninger drejede sig om et pengeinstitut med samme fejl, ville situationen være langt værre, fortæller Ulf Munkedal.
Skal rettes med det samme
- En phisher vil nemlig være ligeglad med, hvis konto han kan tømme, mens det er mindre interessant at læse om tilfældig danskers sundhedsoplysninger. Men det er ikke godt nok, og det er en fejl som skal rettes med det samme, siger Ulf Munkedal.
Ifølge Ulf Munkedal er cross-side scripting-fejlen så almindelig, at firmaet oplever den hos hver anden eller tredje virksomheds webapplikationer i forbindelse med tests af sikkerheden.
- Også hos større offentlige og private virksomheder, som ellers er forholdsvis sikkerhedsbevidste, siger Ulf Munkedal.
Problemet skyldes at virksomhedernes webapplikationer ifølge Ulf Munkedal ofte er svære at styre, fordi der er mange involverede i udviklingsprocessen.
Cross-side scripting-fejl er svære at finde, og fejlene bliver derfor typisk opdaget ved et tilfælde af dygtige eksperter, fortæller Ulf Munkedal.
Har lukket hullet
Sundhed.dk har efter Computerworlds henvendelse fundet og lukket hullet, som ifølge direktør Morten Elbæk Petersen kun har været åbent i en kortere periode.
Fejlen var relateret til en nyere service, som var under indkøring, fortæller Morten Elbæk Petersen.
- Det her må ikke ske, selv om man skal være ekspert for at udnytte hullet, og det er svært at komme ind. Derfor vil vi nu indskærpe procedurerne overfor alle leverandører, siger Morten Elbæk Petersen.
- Samtidig må vi se i øjnene at den høje prioritering af sikkerheden skal foregå hele tiden. Derfor skal vi hele tiden være oppe på mærkerne og optimere vores indsats på at finde fejl og få dem lukket, siger han.
