"Vi har inget behov av er kompetens, utan har kontroll på det!

”Vi har inget behov av er kompetens utan har kontroll på det!” var svaret jag fick när jag uppmärksammade ett företag på att deras webbtjänst helt öppet avslöjar personuppgifter, databaslösenord och annan känslig information.

Inom IT-säkerhet finns något som heter Responsible disclosure vilket innebär att när jag som jobbar med säkerhet upptäcker sårbarheter och informationsläckage i system och webbtjänster så kan jag välja att informera den ansvarige så att de har en chans att åtgärda detta innan det kommer i händerna på busarna.

Det kallas just responsible för att vi inte publicerar eller använder den informationen varken för egen vinning eller för att orsaka skada.

I detta specifika fallet har jag som upptäckt bristen identifierat ett 60-tal installationer av deras branschspecifika system som används av lika många företag och jag är säker på att det finns ytterligare därute som jag inte har hittat. många av de här installationerna bryter bland annat mot GDPR, men framför allt så riskerar individer, kunder och leverantörer att få sin information utnyttjad av illasinnade.

Hur kommer det sig att ett företag som blir uppmärksammad på sårbarheter i sina system väljer att kategoriskt avfärda detta med att ”de har kontroll”, medans jag kan bevisa att i skrivande stund att samtliga av dessa är sårbara. Vad säger det om företagets syn på hur de värderar sina kunder och deras lagrade information som de samtidigt hävdar är skyddad?

Responsible disclosure innebär i princip att jag utan att ta betalt informerar företaget om bristerna jag hittat och detta specifika företag ville inte ens bli informerade vilket jag anser är oerhört oprofessionellt av någon som säljer sina tjänster till företag som litar på att deras information hanteras varsamt och säkert.

Veckans känga går definitivt till företaget som levererar webbtjänsten och eftersom jag inte når igenom till det företaget så väljer jag nu att göra en Responsible disclosure till deras kunder så att de själva kan driva detta vidare och kommer även presentera en enkel lösning för att iaf åtgärda delar av problemet. Detta blir tyvärr indirekt dålig publicitet för webbtjänstföretaget vilket inte är avsikten, men kundernas säkerhet är viktigare.

Jag vill med detta inlägg skicka med en stor vädjan till alla er som utvecklar webbtjänster och system att på riktigt ta ansvar för era system så att kunderna inte blir drabbade. Och om någon väljer att göra en Responsible disclosure, ta den på allvar och välkomna informationen. Vi som arbetar med säkerhet brinner för att det skall vara just säkert och det blir nästan en förolämpning att inte bli tagen på allvar.

Till dig som använder webbtjänster och system som andra har tillverkat, ställ krav på att det finns ett aktivt arbete för att upprätthålla säkerheten i de system ni använder. Tipsa gärna om det finns webbtjänster eller system som upplevs osäkra.

Tveka inte att höra av dig om du har frågor eller behöver hjälp, gärna innan det händer tråkigheter.

Du kanske också gillar

Ett skepp kommer lastat med känslig information

Vad händer med din information när du byter dator?

Hur kan du veta mitt lösenord…??