[Micke_N]

Hej!

Detta har kanske redan tagits upp men för mig var det nytt i allfall.

Är väl inte ensam om att flytta massa domännamn till ny .SE registar i detta nu. Men en sak som jag reagerade över hos Loopia var just säkerheten. Jag har givetvis påtalat detta för Loopia nu under morgonen men de tog väldigt lätt på det och tyckte att de kunder som hamnar i säkerhetsbristen (om det nu är någon) får skylla sig själva.

Eftersom Loopia inte anser att det är en säkerhetsrisk och är informerade tänkte jag bara snabbt gå igenom hur man återskapar det hela.

Vem som helst kan lägga in vilken domänadress som helst på LoopiaDNS oavsett om man äger domänen eller inte. Man kanske har köpte en domän och sedan inte vill ha den längre och kanske glömmer att tabort den från sitt LoopiaDNS konto. Vem vet det finns många olika sätt som en domän kan hamna i LoopiaDNS utan att man själv äger just den specifika domänen längre.

I mitt fall handlade det om att flytta till Loopia och jag lade till en massa domäner i mitt LoopiaDNS konto. Men ca 15st gick inte att lägga till. Kontaktade deras support som sa att antagligen hade jag dem på något annat LoopiaDNS konto. Det var lätt hänt när man registrerade domäner och inte angav sitt gamla konto. Då skapades ett nytt istället.

Mycket riktigt jag hade flera stycken efter att jag gjort en "glömt lösenord" till konto innehavaren. Slog ihopa alla och vid en koll upptäckte jag att jag fortfarande saknade ett par. Då provade jag deras "glömt lösenord” till info@domännamn.se istället .

Mycket riktigt då kom det inloggningsuppgifter. Men när jag loggat in såg jag att det inte var mitt konto utan någon annans konto. Personen hade över 550 domäner i sin LoopiaDNS som jag kunde ändra (om jag nu velat) DNS, se FTP uppgifter osv. När jag tittade igenom listan av domäner såg jag att personen hade min domän där. Då fattade jag att det inte var en slump att jag fått någon annans inlogg. När jag på detta sett gått igenom mina adresser hade jag fått inlogg till 3 olika personers/företags LoopiaDNS konto och kunde kontrollera ca 600 addresser. de konto som även hade webhotell kunde man även komma åt kontrollpanelen. Kort och gått kontroll på allt.

Frågan är alltså. Tycker ni att det är en säkerhetsbrist eller skall kunderna få skylla sig själv medvetet eller omedvetet gör det möjligt för systemet att skicka andras kontouppgifter till helt andra månniskor?

/M

[najk]

säkerhetsbrist/säkerhetshål/kernelpanic!
edit:
Nog för att det är tråkigt med säkerhetshål, men det kan vi alla råka ut för. Vad som är riktigt dålig stil i sammanhanget är att dom inte verkar ta dig på allvar och skiter i ditt säkerhetshål. Tvärtom vad dom borde göra.

[KristianE]

Aj aj aj! Det låter verkligen inte bra!

[Oskar G]

Det där låter riktigt riktigt RIKTIGT illa om jag har förstått det rätt.

Kan man alltså registrera ett domännamn som någon droppat och begära ut lösenordet till det kontot till den droppade domänens info-adress? Det "enda" som krävs är att namnet tidigare har varit hostat hos Loopia, vilket är lätt kollat med en whois.

[Micke_N]

Citat:

Originally posted by oskarg@Mar 12 2009, 11:07
Det där låter riktigt riktigt RIKTIGT illa om jag har förstått det rätt.

Kan man alltså registrera ett domännamn som någon droppat och begära ut lösenordet till det kontot till den droppade domänens info-adress? Det "enda" som krävs är att namnet tidigare har varit hostat hos Loopia, vilket är lätt kollat med en whois.

Ja, så kommer det att fungera. Men det räcker INTE att de varit registrerat hos Loopia det MÅSTE ligga kvar i LoopiaDNS hos den andra personen. Personen måste alltså "glömt" bort att klicka delete på just den domänen. Då kommer du att få personens inlogg till din nyuppsatta "info" adress.

[Oskar G]

Citat:

Ursprungligen postat av Micke_N

Citat:

Ja, så kommer det att fungera. Men det räcker INTE att de varit registrerat hos Loopia det MÅSTE ligga kvar i LoopiaDNS hos den andra personen. Personen måste alltså "glömt" bort att klicka delete på just den domänen. Då kommer du att få personens inlogg till din nyuppsatta "info" adress.

Gäller det "bara" Loopia DNS eller även deras hosting?

[Micke_N]

Det vet jag faktiskt inte. Troligtvis. Men många är kanske inte så intresserade av att betala för ett webhotel som de inte använder till något. Gissar på att när man avslutar ett webhotell så tas antagligen domänen bort också.

LoopiaDNS är ju gratis vilket kan spä på eventuellt slarv med vilka domäner som ligger där.

Edit:
Glömde ju säga/förtydliga att om en person har LoopiaDNS och webhotell så kommer du givetvis åt webhotellet och hostingen som är kopplat till kontot.

[Oskar G]

Citat:

Originally posted by Micke_N@Mar 12 2009, 12:22
Det vet jag faktiskt inte. Troligtvis. Men många är kanske inte så intresserade av att betala för ett webhotel som de inte använder till något. Gissar på att när man avslutar ett webhotell så tas antagligen domänen bort också.

LoopiaDNS är ju gratis vilket kan spä på eventuellt slarv med vilka domäner som ligger där.

Edit:
Glömde ju säga/förtydliga att om en person har LoopiaDNS och webhotell så kommer du givetvis åt webhotellet och hostingen som är kopplat till kontot.

Fast det är många som har fler än ett domännamn. Bara för att man väljer att släppa ett domännamn betyder det inte att webbhotellet står tomt och oanvänt.

Väldigt bra att du upptäckte det och hoppas att Loopia gör något åt detta OMGÅENDE.

[Player]

skrämmande om ovanstående stämmer...

[Lars-Göran Forsberg]

Tack för att du uppmärksammat oss på detta. Scenariot som du beskriver ska inte ska vara möjligt. Vi tar detta på största allvar och har nu tagit bort möjligheten att få sina användaruppgifter e-postade till info@dindomän.se. Vi kommer noggrant att gå igenom vad som hänt samt se över våra rutiner för att förhindra att något liknande sker igen.”