Det er stadig muligt at klikke sig frem til endeløse rækker af private oplysninger om årskortholdere i Zoologisk Have København, selvom dyreparken fredag forsikrer, at hackerproblem er løst.
Softwareingeniøren Søren Louv-Jansen skrev torsdag aften på Twitter, at han kunne “trække navn, billede, email, adresse, tlf på alle med årskort, samt foretage ændringer (forlænge/opsige medlemsskab).”
Det skete ved hjælp af et simpelt softwareprogram, der tog 10-15 minutter at lave, fortæller han til TV 2 Lorry.
Da TV 2 Lorry i første omgang taler med Jacob Munkholm Hoeck, presse- og kommunikationsansvarlig i Zoologisk Have København, oplyser han, at softwareingeniøren hurtigt blev sat i forbindelse med havens it-afdeling for at fortælle om sårbarheden.
- Det kunne it-afdelingen ret hurtigt gøre noget ved. Det potentielle hul, der var, fik vi lukket allerede i går aftes, siger Jacob Munkholm Hoeck fredag formiddag til TV 2 Lorry.
Zoo: Du kan være tryg
Søren Louv-Jansen hackede sig adgang til brugeroplysningerne, efter at han opdagede, at han ikke kunne ændre sin egen adgangskode - postnummeret - på Zoo’s hjemmeside.
- Så jeg løb alle deres medlemsnumre igennem. Deres medlemsnumre er bare et tal, og det næste medlemsnummer er så tallet plus ét. Så man kan bare løbe alle medlemsnumre igennem og så prøve forskellige københavnske postnumre som et automatisk angreb, siger Søren Louv-Jansen til TV 2 Lorry.
Jacob Munkholm Hoeck “vil helst ikke gå i detaljer om, hvad problemet var,” da TV 2 Lorry spørger, om der var udfordringer med postnumre som kode.
Da TV 2 Lorry i første omgang spurgte, om man som årskortholder kunne være tryg ved, at oplysningerne var i sikre hænder, svarede han:
- Det kan man være helt sikker på. For vi tager det selvfølgelig dybt alvorligt. Så alt får et ekstra servicetjek, og jeg ved, at vores it-afdeling er ved at implementere nogle flere steps, siger Jacob Munkholm Hoeck.
Stadig muligt at skaffe sig adgang
Men ifølge Søren Louv-Jansen er det stadig muligt at skaffe sig adgang til årskortholderes personlige oplysninger.
- Det, de har gjort nu, er, at de har lavet det, der hedder en captcha - altså en lille boks, hvor man skal afkode nogle skæve bogstaver og tal, som så skal tastes ind manuelt for at sikre sig, at det er et menneske, der gør logger ind. Så de har gjort det lidt bedre. Men jeg vil tro, at hvis man bruger lidt tid, så kan man hurtigt bryde den captcha også, så man automatisk kan taste de her tal og bogstaver ind, siger Søren Louv-Jansen.
Men i mellemtiden kan man stadig forsøge sig med tilfældige medlemsnumre i kombination med bud på eksempelvis københavnske eller storkøbenhavnske postnumre.
- Jeg prøvede det skam selv, efter de har lavet det om. Og jeg kan stadig logge ind på folks profil. Så de kan ikke tage helt let på det. Før kunne jeg løbe det hele igennem på et par timer, men nu skal jeg gøre det hele manuelt. Det tager længere tid, men det er ikke blevet sværere, siger Søren Louv-Jansen.
Ikke 100 procent i mål
Da TV 2 Lorry igen kontakter Zoologisk Have København med oplysninger om, at det stadig er muligt at få adgang til personlige oplysninger, lyder svaret fra Jacob Munkholm Hoeck, presse- og kommunikationsansvarlig:
- Vi er i fuld gang med at opdatere sikkerheden. Vi har i hvert fald lukket det, han umiddelbart har peget på. Næste skridt er at give det hele et ordentlig servicetjek hele vejen omkring. Men nej, vi er formentlig ikke 100 procent i mål, men det kommer vi.
Tidligere fortalte du, at folk kunne være trygge ved, at deres oplysninger var i sikre hænder, men det er de jo så stadig ikke?
- Det er de jo, hvis ikke man sidder og hacker, så det vil jeg mene, de er. Men det vil jeg sådan set ikke gå mere ind i nu, for det er lidt underligt, at han sidder og fortsætter med det nu.
Lukker for adgang til medlemsside
Fredag ved middagstid oplyser Jacob Munkholm Hoeck, at Zoologisk Have København har valgt at lukke for adgangen til medlemssiden på hjemmesiden fra fredag til søndag for at få helt styr på sikkerheden.
Det betyder, at du som årskortholder skal ringe til Zoologisk Have København, hvis du vil forlænge eller opsige din aftale.
