Tietoturvabingon lisäarvonta

Pelasin tässä taannoin tietoturvabingoa erään järjestelmän sekä sen asiakasohjelmiston kanssa. Ohjelmiston idea on näyttää koneelle kirjautuneelle käyttäjälle häneen itseensä liittyviä tietoja, jotka haetaan etäpalvelimelta. Halusin selvittää liikkuuko käyttäjän salasana selkokielisenä ohjelmistosta palvelimelle.

Voitto ei tällä kertaa osunut kohdalle, mutta pääsin sentään mukaan lisäarvontaan. Asiakasohjelmiston kansiosta löytyi nimittäin asetustiedosto, jonka sisältö hieman ihmetytti. Yhdellä rivillä luki näin:
”Tässä määritellään se käyttäjä, jonka tunnuksilla asiakasohjelmistoa ajetaan.”

Testimielessä vaihdoin kyseiselle asetusriville toisen käyttätunnuksen ja käynnistin ohjelmiston uudelleen. Harmikseni saatoin todeta näkeväni toisen käyttäjän tiedot ruudullani. Siis sellaiset tiedot, joiden kuuluisi näkyä vain käyttäjälle itselleen sekä järjestelmän pääkäyttäjälle. Taas ihmetytti..

Otin yhteyttä järjestelmän jälleenmyyjään.

Myyjän asiantuntija vastasi, ettei hän ollut tietoinen kyseisestä asetuksesta. Pyysi ottamaan yhteyttä järjestelmän tekijöihin. Asiantuntija ei siis tuntenut tarjoamansa ratkaisun asetustiedostoa? Edelleen ihmetytti.

Tästä hämmentyneenä lähetin sähköpostia tekijöille. Kyseessä on kuulemma järjestelmässä alusta asti mukana ollut kätevä ominaisuus, jonka avulla käyttäjä saa näkyville tietonsa, vaikka ei olisikaan omalla koneellaan. Voitto!

Seuraavaksi kun järjestelmät vuotaa ja tietoja leviää ulkopuolisille, niin minua ei enää ihmetytä.

Vastaa

Sähköpostiosoitettasi ei julkaista.