Hej!

Detta har kanske redan tagits upp men för mig var det nytt i allfall.

Är väl inte ensam om att flytta massa domännamn till ny .SE registar i detta nu. Men en sak som jag reagerade över hos Loopia var just säkerheten. Jag har givetvis påtalat detta för Loopia nu under morgonen men de tog väldigt lätt på det och tyckte att de kunder som hamnar i säkerhetsbristen (om det nu är någon) får skylla sig själva.

Eftersom Loopia inte anser att det är en säkerhetsrisk och är informerade tänkte jag bara snabbt gå igenom hur man återskapar det hela.

Vem som helst kan lägga in vilken domänadress som helst på LoopiaDNS oavsett om man äger domänen eller inte. Man kanske har köpte en domän och sedan inte vill ha den längre och kanske glömmer att tabort den från sitt LoopiaDNS konto. Vem vet det finns många olika sätt som en domän kan hamna i LoopiaDNS utan att man själv äger just den specifika domänen längre.

I mitt fall handlade det om att flytta till Loopia och jag lade till en massa domäner i mitt LoopiaDNS konto. Men ca 15st gick inte att lägga till. Kontaktade deras support som sa att antagligen hade jag dem på något annat LoopiaDNS konto. Det var lätt hänt när man registrerade domäner och inte angav sitt gamla konto. Då skapades ett nytt istället.

Mycket riktigt jag hade flera stycken efter att jag gjort en "glömt lösenord" till konto innehavaren. Slog ihopa alla och vid en koll upptäckte jag att jag fortfarande saknade ett par. Då provade jag deras "glömt lösenord” till info@domännamn.se istället .

Mycket riktigt då kom det inloggningsuppgifter. Men när jag loggat in såg jag att det inte var mitt konto utan någon annans konto. Personen hade över 550 domäner i sin LoopiaDNS som jag kunde ändra (om jag nu velat) DNS, se FTP uppgifter osv. När jag tittade igenom listan av domäner såg jag att personen hade min domän där. Då fattade jag att det inte var en slump att jag fått någon annans inlogg. När jag på detta sett gått igenom mina adresser hade jag fått inlogg till 3 olika personers/företags LoopiaDNS konto och kunde kontrollera ca 600 addresser. de konto som även hade webhotell kunde man även komma åt kontrollpanelen. Kort och gått kontroll på allt.

Frågan är alltså. Tycker ni att det är en säkerhetsbrist eller skall kunderna få skylla sig själv medvetet eller omedvetet gör det möjligt för systemet att skicka andras kontouppgifter till helt andra månniskor?

/M

säkerhetsbrist/säkerhetshål/kernelpanic!
edit:
Nog för att det är tråkigt med säkerhetshål, men det kan vi alla råka ut för. Vad som är riktigt dålig stil i sammanhanget är att dom inte verkar ta dig på allvar och skiter i ditt säkerhetshål. Tvärtom vad dom borde göra.

Aj aj aj! Det låter verkligen inte bra!

Det där låter riktigt riktigt RIKTIGT illa om jag har förstått det rätt.

Kan man alltså registrera ett domännamn som någon droppat och begära ut lösenordet till det kontot till den droppade domänens info-adress? Det "enda" som krävs är att namnet tidigare har varit hostat hos Loopia, vilket är lätt kollat med en whois.

Ja, så kommer det att fungera. Men det räcker INTE att de varit registrerat hos Loopia det MÅSTE ligga kvar i LoopiaDNS hos den andra personen. Personen måste alltså "glömt" bort att klicka delete på just den domänen. Då kommer du att få personens inlogg till din nyuppsatta "info" adress.

Gäller det "bara" Loopia DNS eller även deras hosting?

Det vet jag faktiskt inte. Troligtvis. Men många är kanske inte så intresserade av att betala för ett webhotel som de inte använder till något. Gissar på att när man avslutar ett webhotell så tas antagligen domänen bort också.

LoopiaDNS är ju gratis vilket kan spä på eventuellt slarv med vilka domäner som ligger där.

Edit:
Glömde ju säga/förtydliga att om en person har LoopiaDNS och webhotell så kommer du givetvis åt webhotellet och hostingen som är kopplat till kontot.

Fast det är många som har fler än ett domännamn. Bara för att man väljer att släppa ett domännamn betyder det inte att webbhotellet står tomt och oanvänt.

Väldigt bra att du upptäckte det och hoppas att Loopia gör något åt detta OMGÅENDE.

skrämmande om ovanstående stämmer...

Tack för att du uppmärksammat oss på detta. Scenariot som du beskriver ska inte ska vara möjligt. Vi tar detta på största allvar och har nu tagit bort möjligheten att få sina användaruppgifter e-postade till info@dindomän.se. Vi kommer noggrant att gå igenom vad som hänt samt se över våra rutiner för att förhindra att något liknande sker igen.”

Jag har lämnat mina domäner som jag kunnat göra detta med till er innan. Ni kan ju själva testa och se vart mailen skickas och vems uppgifter som skickas iväg. Jag har mina mail kvar om ni vill se dem.

Kommentaren då från er kundtjänst när jag ringde innan idag vid nio tiden var att ni visste om att det var möjligt men att det i LoopiaDNS avtalet stod att man endast fick lägga till sina egna domäner och ingen annans. Kort och gott att man då fick skylla sig själv om man la in en domän som man inte själv ägde.

Bra där. Förslagsvis att ni följer upp detta offentligt likaså, t ex genom information till era kunder om det som har hänt och en uppmaning till dem om att kontrollera sina konton. Bara ett vänligt tips. :)

En kontroll att domäner som ligger i LoopiaDNS faktiskt ägs av den som innehar LoopiaDNS kontor vore kanske rimligt?

Ja är ju inte precis svårt, bara att skicka en bekräftelselänk till admin/owner kontakt som står i whois för domän.

Visst lite problematiskt med SE domäner men bör ju gå lösa på något vettigt sätt.

Nu hade ju inte en sådan kontroll täckt fallet med domäner som löpt ut och omregistrerats dock.

Bra exempel på att det inte alltid är rätt att vara användarvänlig.

Med tanke på de möjligheter som Loopia (och övriga registrarer till .SE) har nu så behöver de inte ens göra det. Nu sitter Loopia på alla uppgifter om de innehavare som har valt dem för sina .se domäner (vilket inte var fallet tidigare).

Ouch! Kom på en liten sak. Hoppas nu bara att ingen har "snott" en .se domän genom Loopia, i samband med övergången, genom att utnyttja det här säkerhetshålet. Det vore väldigt olyckligt.

Det här är nog bland det värsta man kan göra som företag i branschen. Det FÅR inte hända under några som helst omständigheter. Det är väl bara för alla att se över samtliga sina domäner för att kolla att man fortfarande äger dom antar jag....

Riktigt, riktigt uselt.

Att kolla att uppgifterna som IIS har stämmer med er påstådda ägare/kund är väl inte så svårt. Båda parter har person/organisationsnummer.