[Micke_N]

Hej!

Detta har kanske redan tagits upp men för mig var det nytt i allfall.

Är väl inte ensam om att flytta massa domännamn till ny .SE registar i detta nu. Men en sak som jag reagerade över hos Loopia var just säkerheten. Jag har givetvis påtalat detta för Loopia nu under morgonen men de tog väldigt lätt på det och tyckte att de kunder som hamnar i säkerhetsbristen (om det nu är någon) får skylla sig själva.

Eftersom Loopia inte anser att det är en säkerhetsrisk och är informerade tänkte jag bara snabbt gå igenom hur man återskapar det hela.

Vem som helst kan lägga in vilken domänadress som helst på LoopiaDNS oavsett om man äger domänen eller inte. Man kanske har köpte en domän och sedan inte vill ha den längre och kanske glömmer att tabort den från sitt LoopiaDNS konto. Vem vet det finns många olika sätt som en domän kan hamna i LoopiaDNS utan att man själv äger just den specifika domänen längre.

I mitt fall handlade det om att flytta till Loopia och jag lade till en massa domäner i mitt LoopiaDNS konto. Men ca 15st gick inte att lägga till. Kontaktade deras support som sa att antagligen hade jag dem på något annat LoopiaDNS konto. Det var lätt hänt när man registrerade domäner och inte angav sitt gamla konto. Då skapades ett nytt istället.

Mycket riktigt jag hade flera stycken efter att jag gjort en "glömt lösenord" till konto innehavaren. Slog ihopa alla och vid en koll upptäckte jag att jag fortfarande saknade ett par. Då provade jag deras "glömt lösenord” till info@domännamn.se istället .

Mycket riktigt då kom det inloggningsuppgifter. Men när jag loggat in såg jag att det inte var mitt konto utan någon annans konto. Personen hade över 550 domäner i sin LoopiaDNS som jag kunde ändra (om jag nu velat) DNS, se FTP uppgifter osv. När jag tittade igenom listan av domäner såg jag att personen hade min domän där. Då fattade jag att det inte var en slump att jag fått någon annans inlogg. När jag på detta sett gått igenom mina adresser hade jag fått inlogg till 3 olika personers/företags LoopiaDNS konto och kunde kontrollera ca 600 addresser. de konto som även hade webhotell kunde man även komma åt kontrollpanelen. Kort och gått kontroll på allt.

Frågan är alltså. Tycker ni att det är en säkerhetsbrist eller skall kunderna få skylla sig själv medvetet eller omedvetet gör det möjligt för systemet att skicka andras kontouppgifter till helt andra månniskor?

/M