Uden adgangskode har alle kunne se nøgledokumenter fra Klasselotteriet, som blandt andet beskriver, hvor det lille grå pengeskab er placeret. Hvor mange kontanter Klasselotteriet ligger inde med. Hvor overvågningskameraer hænger, og hvordan medarbejderne skal forholde sig under et røveri.
En del af Klasselotteriets interne dokumenter blev ved en fejl fuldstændigt åbent lagt frem. Forklaringen er, at Klasselotteriet havde installeret en ekstern netværksharddisk eller netværksdrev, der gav alle lov til at se filer uden adgangskode.
P1 Orientering og Databaseredaktionen i DR Danmark har samarbejdet med en sikkerhedsekspert, der gerne ville gøre opmærksom på sikkerhedshuller og har scannet nettet for netværksharddiske (NAS), som står pivåbne.
Et øjebliksbillede viste omkring 700 åbne netværksharddiske med over 2,1 millioner filer, men der kan være mange flere. Mange private har uden at ville det lagt meget følsomme oplysninger ud på internettet - blandt andet lægejournaler, gæld og diagnoser, mens virksomheder også har offentliggjort ting, der skulle være fortrolige.
Efter at DR henvendte sig, har Klasselotteriet lukket for den åbne adgang.
Direktør for Klasselotteriet Elisabeth Rask Jørgensen ønsker ikke at deltage i et interview.
Tyve får lettere spil
Til gengæld vil et par it-sikkerhedseksperter gerne fortælle, hvad de tænker om Klasselotteriets åbenhed.
- Det lyder beskæmmende, at alle de informationer ligger frit tilgængelig, og man ikke har taget de fornødne foranstaltninger. Det forekommer mig underligt, siger John Foley, som har 30 års erfaring med it-sikkerhedsarbejde fra blandt andet Forsvarets Center for Cybersikkerhed og i dag er stifter af it- og sikkerhedsvirksomheden COPTIS.
Han fortæller, at tyve for eksempel kigger i boligannoncer for at spotte, hvor der er interessante ting at stjæle. På samme måde løber Klasselotteriet en risiko, når de åbent lægger fortrolige oplysninger om sikkerheden frem, vurderer han.
- Hvis man ved, hvilke virksomheder, der har interessante ting stående, kan tyve forberede sig, inden de går ind og tager tingene, siger han.
Hackere får bedre arbejdsvilkår
Heller ikke Keld Norman, som er it-sikkerhedspecialist for Dubex og blandt andet arbejder
på at forhindre hackerangreb, er imponeret over de dokumenter, Klasselotteriet har lagt offentligt frem.
- Hvis man gerne vil forberede en røver bedst muligt, skal man lægge sådanne data ud på nettet. Det er uheldigt, siger han.
Klasselotteriet har også offentliggjort en oversigt over, hvilke programmer de bruger. Det er også skidt for sikkerheden, mener John Foley.
- Det er en indbydelse til dem, der vil gå videre i en indbrudsfase eller en hackersag. Det er en god information at få for hackere, der kan målrette angreb, siger han.
Samme vurdering har Keld Norman. Hackere får lettere arbejdsbetingelser, når de kender virksomhedens software, så derfor løber Klasselotteriet en risiko ved at lægge det åbent frem.
- Det svarer til at flyve med drage i tordenvejr med metalsnor og så regne med ikke at blive ramt af lynet, mener han.
Sådan undersøgte DR sikkerheds-huller
- •
I de her dage sætter DR fokus på it-sikkerhed. Målet er at belyse sikkerhedshuller, og anledningen er EU´s persondataforordning, der træder i kraft i morgen den 25. maj.
- •
En sikkerhedsekspert har sendt en liste over åbne netværksharddiske og ftp-servere. Uden adgangskode kan alle se filerne. To DR journalister fra P1 Orientering og Databaseredaktionen i DR Danmark har undersøgt indholdet i de åbne netværks-harddiske ved at søge efter dokumenter med forskellige søgeord som for eksempel: bank, skat, forvaltning eller gæld. Researchen er ikke delt med andre, men gemt i krypterede mapper.
- •
DR har kontaktet en række personer, der uden at vide det, har følsomme ting liggende på nettet og advaret dem mod risikoen. Mange har efterfølgende lukket sikkerhedshullet.
- •
Er du i tvivl om din netværks-harddisk offentliggør alt, uden du vil det, anbefaler vi at læse denne guide.