Ikke sikkerhetshull ved UiA

Universitetet i Oslo (UiO) har avslørt at datasystemer som brukes av over 300 kommuner og statlige etater har et betydelig sikkerhetshull, melder NRK. UiA bruker deler av dette systemet, men unngår sikkerhetshullet.

Det er datasystemet ePhorte som har et hull der hackere kan sno seg inn og hente ut passord og persondata.

- Ved UiA har vi ikke integrert e-postsystemet i ePhorte, og dermed er vi ikke sårbare for dette sikkerhetshullet, sier senioringeniør Lars Nesland i IT-avdelingen.

Fagmiljøet har vært klar over at det er noe rusk i systemet, men om akkurat det sikkerhetshullet som UiO har funnet har vært diskutert, er litt usikkert.

Mange bruker systemet

Datasystemet ePhorte brukes av over 300 kommuner og statlige etater, og viser seg nå å ha et sikkerhetshull som kan føre til at datasnoker får tak i brukernavn og passord til alle som bruker systemet, skriver NRK på nettsidene sine.

Mange offentlige etater går over til å lagre dokumentene sine digitalt i elektroniske arkiv, og ePhorte er ett av de mest brukte arkivsystemene.

Dermed sitter over 300 offentlige etater på et usikkert system uten å vite det.

Oppdagelsen

- Da vi skulle innføre dette systemet på UiO gikk vi gjennom sikkerheten. Vi oppdaget da at programmet måtte ha tilgang til e-postsystemene våre og derfor trengte brukernavn og passord, noe det lagret i en liste på systemet. Denne lista inneholder da informasjon for alle ansatte og er en klar sikkerhetsrisiko, sier IT-direktør ved Universitetet i Oslo, Lars Oftedal.

Det er ikke enkelt å bryte seg inn på systemene, men Oftedal frykter likevel at datakyndige personer på grunn av feilen kan få tak i en fullstendig liste over ansatte med brukernavn og passord. Noe som kan få konsekvenser.

Kan lese personlig info

- Ved å få tak i brukernavn og passord til alle de ansatte vil en datasnok få tilgang til alle dokumentene i arkivet. Da kan personen lese personlig informasjon om andre, sier IT-direktøren.

- Gjelder dette problemet også alle andre som bruker ePhorte?

- Så vidt vi vet gjør det det, sier universitetets IT-sjef.

En datasnok som får tak i passordlista kan altså lese, endre og slette alt som ligger i arkivet til etaten. Dermed er det fritt fram for å ordne seg barnehageplass eller forbedre karakterer, skriver NRK på nettsidene sine.

Les hele saken på NRK.no:


Publisert av Tor Martin Lien <tormartin.lienSPAMFILTER@uia.no> 22.08.2008
Sist oppdatert 22.08.2008
Del/Tips: Printfriendly version

Kommentarer