Tidig morgon idag, den 29e september, fick jag en URL framför mig som jag av en sorts halvautomatik klickade på.
Denna URL gick till ett administrationssystem som låg helt öppet utan någon som helst säkerhetsanordning. Bland annat kunde man därifrån editera
www.vader.se och
www.hotell.se Tillsammans verkar de ha en trafik större än t ex Canal Plus (canalplus.se)
Barmhärtig samarit som man är ringde jag ansvarigt företag inte långt efter att deras telefoner bemannades, så att de skulle ta hand om problemet innan adressen som säkert redan hade spridits en bra bit, skulle spridas till någon med onda avsikter.
Först möttes jag av en kvinnlig supportanställd varpå man i konversationen kunde höra något snarlikt nedanstående.
Citat:
- 'Jo, jag skulle bara säga att ni har ett helt öppet administrationssystem på *censur* vilket bör tas bort innan något händer.
- 'Vem är du? Försöker du sälja något?'
- 'Nej, jag skulle bara informera om detta så inget onödigt händer.'
- 'Men hur tog du dig in i vårat adminsystem?'
|
Efter en stund till av halvt mot mig anklagande samtal, blir jag vidarekopplad till en annan i personalen vilken tackar och säger att det skall åtgärdas.
Efter ett 3-4 timmar (det var ej åtgärdat efter 1 timme) ser jag att de åtgärdat de öppna administrations-sidorna med, vad jag kan se, ett par tryck på delete-knappen.
Jag informerade dom även vid första samtalet om en öppen katalogstruktur i vilken man kunde ladda ner psd-mallar och mdb-databaser för deras kundprojekt. Där låg även en pdf-fil med ny kontoinformation till en kund, endast 1 månad gammal.
När jag nu 6-7 timmar senare informerar dem om att denna fortfarande ligger uppe får jag svaret att det är en utvecklingsportal utan skarp information. För att försöka få dem att förstå att där ligger känslig information berättade jag om vad som där ligger i cirka 5 minuter. Förhållandevis oövertygad säger han att det är publik information, men att de ska ta en titt på det.