Artikel top billede

Sådan ser serveren bag Sonofonhuset ud for den besøgende.

Sonofons julespil ren hacker-bule på åben server

Sonofon-netspillet Sonofonhuset afvikles fra usikker server, som alle frit kan koble på og kontrollere. Samtidig sendes persondata frit omkring.

Vind 100.000 kroner og få virus på din computer og dine personoplysninger udstillet på en pivåben server i Kuala Lumpur.

Sådan lyder et tilbud fra Sonofon til danskere, som deltager i firmaets højtprofilerede flashspil Sonofonhuset.

Problemet er, at serveren bag Sonofon-spillet er så usikker, at spillets opsætning og styring er frit tilgængelig for enhver, som ønsker at ændre på spillets egenskaber eller kode.

"Det er fuldstændig piv-hamrende åbent. Der er intet brugernavn og password," fortæller Peter Kruse, fra sikkerhedsfirmaet Csis.

Den dårlige sikkerhed bag spillet gør udfordringen ved at vinde minimal. På grund af den usikre server er det nemlig nemt at vinde, mener Peter Kruse.

"Du kan snyde på alle måder. Du kan ændre level, hvad du opnår af point, du kan ændre hvor data bliver sendt hen og oven i købet indholdet af data. Men du kan også levere skadelig kode, hvis det er det du vil," siger Peter Kruse.

Stor sikkerhedsrisiko

Dermed gør spillet det muligt at inficere andre brugeres computere med skadelig kode eller simpelthen bruge Sonofons spilserver til et helt andet formål.

Sonofon leverer via serveren oven i købet adgang til et nemt brugerinterface, som giver kontrol over serveren uden brug af indviklet kodelinie, forklarer Peter Kruse.

Den frie adgang til Sonofons spilserver i Kuala Lumpur giver fuld adgang til alle mapper med kildekoden til julespil på Sonofons hjemmeside. Og sikkerhedshullet giver gode muligheder for at sprede skadelig kode ved hjælp af serveren.

"Du kan ændre koden i Shockwave Flash og indlægge eksterne links, som eksempelvis peger hen mod det nye Shockwave Flash exploit eller de ny exploits i Internet Explorer. Det tager to minutter," siger Peter Kruse.

"Fuld mappelistning. Fuld adgang til managementsystemet og ingen passwords. Jeg synes, det er kikset, at Sonofon ikke har været inde og tjekke," siger Peter Kruse.

Derfor mener Peter Kruse, at Sonofon bør rette problemet så hurtigt som muligt og herefter validere leverandøren af julespillet grundigt.

"Jeg synes, at Sonofon bør gøre sig tanker om, hvad det betyder, at man sender danske brugerdata til Kuala Lumpur," siger Peter Kruse, der ikke mener at kunne finde oplysninger til brugerne om denne videregivelse af oplysninger til et fremmed land på Sonofons hjemmeside.

Datatilsynet bekymret

Samtidig er serveren sat således op, at brugere, der indtaster deres navn, telefonnummer og email for at deltage i konkurrencen om de 100.000 kroner, risikerer at få deres data spredt for alle vinde på internettet.

Det betyder i praksis, at enhver kan høste personoplysninger om andre deltagere i spillet fra den usikre server i Kuala Lumpur.

Disse oplysninger kan misbruges til spam, phishing eller sælges videre på det sorte marked.

"Man skal være forsigtig med at spille det her julespil. Det ser sjovt ud, men man skal være meget opmærksom på, hvor de her ting lander henne," anbefaler Peter Kruse.

Datatilsynet ind i sagen

Og netop spredningen af personoplysninger får nu Datatilsynet til at interessere sig for Sonofon og julespillet.

"Det tyder på, at det ikke er, som det skal være, og at der er en sikkerhedsbrist. Derfor har vi i dag skrevet til Sonofon og stillet dem nogle spørgsmål," siger Lena Andersen, der er chefjurist hos Datatilsynet.

Hun understreger, at der ikke er tale om spredning af de allermest følsomme personoplysninger.

"Men det er ikke meningen, at disse oplysninger skulle være tilgængelige. Man giver dem til Sonofon, ikke til offentliggørelse. Det kunne umiddelbart se ud til, at der er en lille sikkerhedsbrist her," siger Lena Andersen.

Computerworld stillede tirsdag eftermiddag Sonofon en række spørgsmål til sagen. Men firmaet er endnu ikke vendt tilbage med svar eller en kommentar.

Er Sonofon klar over, at selskabet sender deltagernes telefonnummer, navn og email ud på nettet, når de spiller det her spil?

Er I klar over, at den server, som spillet afvikles fra, befinder sig i Kuala Lumpur?

Mener I, at serveren som sådan er sikker nok?

Har I undersøgt, om spillet og sikkerheden lever op til persondataloven?

Hvad er årsagen til, at I har valgt den her løsning?

Hvis I finder, at der er tale om et problematisk sikkerhedniveau, er det så noget I har tænkt jer at rette på?

Sonofon har onsdag fjernet spillet fra firmaets onlineunivers, mens den bagvedliggende server har fået tilføjet brugernavn og password.

Opdateret
I artiklen fremgår det, at serveren bag Sonofons julespil befinder sig i Kuala Lumpur. Men ifølge Sonofons oplysninger befinder serveren sig i Danmark. Dette er bekræftet af et hostingfirma.

Serveren bag spillet befinder sig på domænet sonofonhuset.titoonic-asia.com. Domænet titoonic-asia.com er ifølge whois.net registreret i Kuala Lumpur.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere