Sikkerhedsbrist hos dansk webhost
Til min store overraskelse kunne jeg i dag se at jeg havde fri adgang til noget lign. 600-700 kunders MySQL databaser hos ScanNet.
Det var blot via en lokal (ikke beskyttet) installation af phpMyAdmin der gav mig denne adgang.
Først troede jeg ikke mine egne øjne, men efter et par klik stod det mig klart at jeg kunne se ALT.
Som lille bevis havde Thomas Rosenstand nogle gamle data liggende hos Scannet, og jeg kunne hurtigt nappe et screenshot af en af hans gamle tabeller. (Dette fik jeg lov til af Rosenstand inden jeg gjorde det).
Scannet blev naturligvis underrettet med det samme og de lukkede hurtigt ned for min lokale adgang til databaserne. Om det blot er mig der på en eller anden måde har haft denne adgang, eller om det har været pivåbent for alle, aner jeg ikke.. Men bare det at det kan ske og sker, bør være en lektie til alle.
Pas på hvilke data du har liggende i dine databaser online, har du nogle SUPER kritiske ting andre ikke må se, så bør du ikke have dem liggende online. For selvom du selv mener at have beskyttet dig selv i hoved og røv, er det ikke sikkert din webhost er det 24/7/365.
Update: Ok lige som jeg skriver dette, har Scannet underrettet mig om at de har fået lukket sikkerhedshullet. Altid godt med en hurtig response på så kritiske ting. Gik en time fra jeg rapporterede hullet til det blev fikset.
Hold da op… Men selv de bedste og største kan lave fejl…
Problemet hos de største er bare, at det kan ses tydeligt..
Måske en lille forsmag på, hvilken gyser det kan blive, når alt i samfundet snart er digitalt ?
Pueha da da. Den er godt nok slet ikke god den der. Det var da heldigt for alle de personer, hvis databaser du have adgang til, at du ikke havde onde hensigter.
Men hvis hvem som helst kunne tilgå diverse databaser, så skal der da nok være nogle som har lavet lidt rav i den rundt omkring.
Nu er det godt nok en ret gammel tråd, men kan ikke lade være med at kommentere da jeg tror det er et ret stort problem generelt. – også her 6 år efter indlægget er skrevet første gang.
Jeg selv har oplevet det på et eller andet tidspunkt, på stort set alle de webhoteller jeg har være kunde hos.
Jeg håber dog at folk kan være lidt mere trygge nu når flere og flere vælger at køre egne virtuelle servere da priserne på disse og webhoteller er næsten ens.