En af Danmarks mest besøgte internetsider ekstrabladet.dk lukkede torsdag et sikkerhedshul, som gjorde det muligt at få adgang til fortrolige oplysninger hos underleverandøren Xstream, der driver netstedets videotjeneste.
Det fortæller it-direktør hos JP/Politikens Hus Per Palmkvist Knudsen.
”Vi har fået valideret, at fejlen var ude hos x-stream, og at den er lukket,” siger Per Palmkvist Knudsen til Computerworld.
Ekstrabladet.dk lancerede sidste år den populære videotjeneste på avisens site. Ifølge Per Palmkvist Knudsen er det Xstream, som selvstændigt driver videotjenesten, som så vises på ekstrabladet.dk.
Anden gang på kort tid
Ifølge Version2 blev hullet fundet af en sikkerhedsekspert, og fejlen, der betyder at det via videoplayeren er muligt at få adgang til et script med bruger- of adgangskoder til en ftp-server hos X-stream, der leverer videoindhold til en række aviser. Problemet opstår kun i forbindelse med brug af Firefox.
Ifølge Per Palmkvist Knudsen har sikkerhedshullet ikke gjort det muligt at kompromitere indhold i andre systemer hos ekstrabladet, fordi systemerne er adskilt.
”Man kunne få adgang til brugernavn og password på en ftp-server og så gå baglæns den vej,” siger Per Palmkvist Knudsen.
Teknisk direktør hos Xstream Henrik Loop fortæller til Version2 at fejlen opstod på grund af en programmørfejl i forbindelse med oprettelsen af en ny kunde. Hullet er nu blevet lukket.
Ekstra Bladet var også omkring jul ramt af sikkerhedsproblemer. Her var det inficerede bannerannoncer, som betød, at besøgendes risikerede at downloade en trojaner til deres computer.