Sikkerhedsbrist hos dansk webhost

Til min store overraskelse kunne jeg i dag se at jeg havde fri adgang til noget lign. 600-700 kunders MySQL databaser hos ScanNet.

Det var blot via en lokal (ikke beskyttet) installation af phpMyAdmin der gav mig denne adgang.
Først troede jeg ikke mine egne øjne, men efter et par klik stod det mig klart at jeg kunne se ALT.

Som lille bevis havde Thomas Rosenstand nogle gamle data liggende hos Scannet, og jeg kunne hurtigt nappe et screenshot af en af hans gamle tabeller. (Dette fik jeg lov til af Rosenstand inden jeg gjorde det).

Scannet blev naturligvis underrettet med det samme og de lukkede hurtigt ned for min lokale adgang til databaserne. Om det blot er mig der på en eller anden måde har haft denne adgang, eller om det har været pivåbent for alle, aner jeg ikke.. Men bare det at det kan ske og sker, bør være en lektie til alle.

Pas på hvilke data du har liggende i dine databaser online, har du nogle SUPER kritiske ting andre ikke må se, så bør du ikke have dem liggende online. For selvom du selv mener at have beskyttet dig selv i hoved og røv, er det ikke sikkert din webhost er det 24/7/365.

Update: Ok lige som jeg skriver dette, har Scannet underrettet mig om at de har fået lukket sikkerhedshullet. Altid godt med en hurtig response på så kritiske ting. Gik en time fra jeg rapporterede hullet til det blev fikset.

 
Dansk blog Engelsk blog
Twitter Claus Heinrich