Postens pinlige pakkeløsning!

Selvom Posten vidste det, har oplysninger om millionvis af pakker ligget frit tilgængeligt på nettet i årevis

Pakker i massevis. (Foto:Ekstrabladet.dk)
Pakker i massevis. (Foto:Ekstrabladet.dk)

Alle oplysninger om 6,3 millioner pakker - sendt gennem Post Danmarks WebPack-løsning - har i årevis været at finde på nettet. Posten har kendt til problemet siden 2008, uden at gøre noget ved det - skriver it-mediet Version2.

Post Danmark blev helt tilbage i november 2008 gjort opmærksom på sikkerhedshullet af en it-udvikler, der forgæves havde forsøgt at få firmaet til gøre WebPack tilgængelig i andre browsere end Internet Explorer.

Som Version2 beskriver det er problemet , at løsningen blot tjekker for om man er logget ind - men undlader at tjekke hvilken identitet, man er logget ind som.

For at føje spot til skade, har WebPack-løsningen ind til for ganske nylig tilmed haft en demobruger-funktion liggende på forsiden - så potentielle, nye WebPack-kunder kunne teste løsningen.

Alle uden undtagelse kunne dermed få fuld adgang til samtlige oplysninger om pakkerne - herunder afsender, modtager, indhold, værdi, modtagers e-mail, modtagers telefonnummer, forsikringssum.

Sågar bemærkninger såsom 'pakken skal stilles i garagen' og lignende var nemme at få fat på.

Det eneste, det har krævet, var at udskifte et id-nummer i en URL.

Hullet er nu stoppet
Sikkerhedshullet står - vel at mærke med Post Danmarks vidende - pivåbent i tre år, ind til Version2 for nogle uger siden går ind i sagen. Nu er knappen med 'Demo-bruger' fjernet fra løsningen, og Post Danmark bedyrer, at sikkerhedshullet også er lukket.

0 kommentarer
Vis kommentarer
Seneste i Nyheder
Mest læste i Nyheder
Hent flere
Forsiden lige nu
Plus anbefaler
Hent flere