Mörg fyrirtæki með ódulkóðuð lykilorð

Vefsíður margra íslenskra fyrirtækja geyma lykilorð viðskiptavina sinna án þess að dulkóða þau. Það þýðir að sé brotist inn á vefsíðuna er hægt að hlaða niður lista yfir notendanöfn og lykilorð á síðunum.

Á þetta er bent á Facebook-síðu Pírata. Þar eru tiltekin fimm dæmi yfir vefsíður sem eru með þennan öryggisgalla. Það eru vefsíðurnar tonlist.is, n1.is, orkan.is, mbl.is og netverslun.is, sem er netverslun Nýherja. Nýherji hefur tilkynnt að unnið sé að því að lagfæra þennan öryggisgalla á vefsíðu fyrirtækisins.

„Ef vefsíður bjóða fólki upp á að fá lykilorðið sent er það augljóslega ódulkóðað,“ segir Helgi Hrafn Gunnarsson, þingmaður Pírata. 

Hann segir vandamálið merkilega útbreitt. Þessar fimm síður séu síður en svo einu dæmin um íslenskar síður sem hafi þennan öryggisgalla. Þetta sé því miður ótrúlega algengur galli á íslenskum vefsíðum þar sem fólk þurfi að skrá sig inn á síðurnar.

Vefsíður sem nota dulkóðun til að verja notendur sína geta ekki sent notendum sem gleyma lykilorðum sínum lykilorðið í pósti. Þær bjóða þess í stað upp á aðrar leiðir til að setja inn nýtt lykilorð.

„Þeir geta ekki sent lykilorðin af því þeir vita þau ekki. Þannig á þetta að virka. En af einhverjum ástæðum, sem eru mér hulin ráðgáta, trassa sumir tæknimenn að gera þetta með þeim hætti, sem er einkennilegt því þetta er afskaplega einfalt,“ segir Helgi.

Margir nota sömu notendanöfn og lykilorð á mörgum vefsíðum, og því getur það verið mikið vandamál takist tölvuþrjótum að stela aðgangsorðum og lykilorðum að vefsíðu, þó strax sé lokað fyrir misnotkun á stolnu lykilorðunum á þeirri vefsíðu. Þetta kom skýrt í ljós í kjölfar innbrotsins á vefsíðu Vodafone aðfaranótt síðasta laugardags.

Erfitt að rekja slóð glæpamanna á netinu

Rannsókn lögreglu á innbrotinu á vef Vodafone er á frumstigi, segir Friðrik Smári Björgvinsson, yfirlögregluþjónn rannsóknardeildar lögreglu höfuðborgarsvæðisins. Stjórnendur Vodafone kærðu innbrotið á sunnudag, en fram kom í fréttum RÚV í gær að hakkarar frá Alsír hafi í tvígang áður komist inn á vef Vodafone, í mars 2012 og í maí í ár.

„Almennt getur rannsókn mála af þessu tagi verið erfið,“ segir Friðrik Smári. Hann segir að rekja þurfi svokallaðar IP-tölur þeirra sem fremji brot sín á netinu.

Miðað við þær upplýsingar sem hakkarinn gefur sjálfur upp, er hann frá Tyrklandi. Friðrik segir vissulega erfitt að upplýsa mál þar sem gerandinn sé ekki hér á landi, en lögreglan geti leitað atbeina lögreglu í öðrum löndum við rannsóknir.

Skoðaði vef Símans

Sami hakkari og braust inn á vef Vodafone kom inn á vef Símans á svipuðum tíma og árásin á Vodafone var gerð. Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans, segir að ekki liggi fyrir vitneskja um neina árás á kerfi Símans. Ekkert bendi til þess að utanaðkomandi aðili hafi komist í gögn hjá Símanum. Hún segir að Síminn hafi upplýst PFS um þetta um helgina. „Það er í sjálfu sér ekki fréttnæmt að gerðar séu árásir á vefsíður fyrirtækja, svo algengar eru þær orðnar. Við sjáum svona tilraunir í hverri viku og varnir taka mið af því.“

Reynt var að brjótast inn hjá hýsingarfyrirtæki sem meðal annars hýsir vef Mílu á svipuðum tíma og brotist var inn á vef Vodafone. Sigurrós Jónsdóttir, deildarstjóri samskipta hjá Mílu, segir að vefir fjölmargra fyrirtækja séu hýstir á sama stað, og því ekki víst að vefur Mílu hafi verið skotmarkið. Starfsmenn hýsingarfyrirtækisins hafi varist netárásum fyrir og um síðustu helgi.

Um 300 sagt upp GSM áskrift

Tæplega 300 hafa sagt upp GSM-áskrift hjá Vodafone eftir að upplýst var um innbrot á vef fyrirtækisins um helgina. „Frá því á laugardag hafa 297 viðskiptavinir hætt í GSM-áskrift,“ segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone. Hann segir fjölda GSM-viðskiptavina hjá fyrirtækinu á annað hundrað þúsund.

„Það er góð sala, en það er erfitt að segja hverju það er að þakka,“ segir Liv Bergþórsdóttir, framkvæmdastjóri Nova. Fyrirtækið hafi haldið upp á sex ára afmæli um helgina og verið með tilboð í gangi bæði vegna þess og jólanna. Ekki hafi orðið vart við áberandi aukningu sem augljóslega megi rekja til innbrotsins hjá Vodafone um helgina.

„Mánudagurinn var mjög annasamur og töluverður hópur kaus að koma í viðskipti,“ segir Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans.



Athugasemd:

Í yfirlýsingu frá Nýherja kemur fram að ekki sé rétt að verið sé að laga öryggisgalla á nyherji.is. „Það sem er verið að laga er virkni í netverslun.is (ekki www.nyherji.is) sem dulkóðar öll aðgangsorð.“

„Þá er það heldur ekki rétt að Nýherji hafi farið af stað vegna umfjöllunar Pírata. Staðreyndin er sú að vinna hjá okkur hófst á laugardag að skoða öll okkar mál í kjölfar atviksins hjá Vodafone. Hins vegar vildum við láta þá aðila vita, sem sögðu frá þessu máli á netinu, til upplýsinga.“