Delte søkertekster og passord på Github

Tekst: Ingeborg Nyrud, Jens Erik Vaaler og Martin Gundersen

Ifølge Studentersamfundet ble det delt e-postadresser, passord og søknadstekster fra perioden 21. august 2008 til 7. januar 2012 ved en feiltakelse. Forholdet gjelder 1053 e-postadresser, hvor omlag 800 fortsatt er i bruk. Samfundet varslet alle berørte samme kveld med en oppfordring om å skifte passord både på Samfundet.no og alle andre steder samme passord var i bruk.

Informasjonen er på avveie

— I perioden har fem personer hatt tilgang til filene. Det antas dette er Samfundets egne brukere, men det er ikke verifisert om antallet inkluderer utenforstående, sa leder Øyvind Bentås ved Studentersamfundet i Trondheim til Dusken.no fredag 4. mars.

Databasen lå tilgjengelig i 92 minutter den 7. mars, og det har i ettertid vist seg at utenforstående har fått tilgang til de aktuelle filene. En kilde som ønsket å være anonym kontaktet Dusken per epost. Han mente spredningen var et faktum.

— Det er ikke fem personer som har hatt tilgang, dette spredte seg kjapt når det ble oppdaget. Jeg kjenner personlig til mange personer som har hatt tilgang på informasjonen, forteller kilden.

— Vet du hvor mange som kan ha fått tilgang til disse dataene?

— Jeg vet at disse dataene har blitt lastet ned, dermed er det egentlig umulig å anslå. Av de jeg kjenner, så sprer man ikke den informasjonen videre. Altså, folk er ordentlige. Jeg fikk tilgang til en liste med kun hashene. Denne gir informasjon om passordene, men ingenting som kan brukes videre. Slike lister er interessante for folk som jobber med sikkerhet, sier kilden.

Kritiserer Samfundets rutiner

Kilden retter spesifikt kritikk mot Studentersamfundets rutiner rundt søknadstekster i sin epost.

— At søknadstekster er offentlige er totalt uholdbart. At folk som jobber innen IT på Samfundet har tilgang er også uholdbart. Dette er svært personlig informasjon som burde slettes rett etter søknadsprosessen er over. Jeg er utrolig skuffet over Samfundets håndtering av persondata.

Ifølge Samfundet var passordene kryptert da de ble lekket ut. Vår kilde mener derimot at dette er en sannhet med modifikasjoner.

— Når krypteringen er gjort på en så svak måte som dette er det å lure offentligheten å si at passordene ikke er tilgjengelige.

Svak beskyttelse

Passordene var beskyttet med såkalt SHA-1, Secure Hash Algorithm 1.

— For eksempel vil ordet «passord» uttrykkt gjennom SHA1 resultere i en «hash», eller en tekststreng som ser annerledes ut. Dette er det som lagres i databasen, altså ikke selve passordet. Det er ikke mulig å få tak i passordet ved hjelp av denne verdien. Vanligvis pleier man å blande passordet med et tilfeldig tall først, for så å lagre hashen. Dette har ikke Samfundet gjort. SHA1 blir ikke lenger sett på som en trygg form for kryptering av kryptoanalytikere.

— Problemet med å kun lagre hashen er at det fi nnes tabeller med millioner av vanlige passord og hashene de resulterer i. Disse er også gjort sårbare. Så hvis man har en spesifikk hash kan man søke den opp på bestemte nettsider, eller bare laste ned en slik tabell og gjøre et effektivt søk på alle. En stor andel av hashene som ble lekket i løpet av natten var i en slik tabell, forteller kilden. Disse passordene kunne man derfor skaffe i klartekst, sammen med brukernavn.

Lover opprydning

— Vi har gått ut med den kunnskapen vi har hatt tilgjengelig, sier Bentås som forteller at forholdet ble oppdaget av egne medlemmer som hurtig meldte ifra om avviket.

Han lover at Samfundet ettergår egne rutiner og at det vil gis ytterligere informasjon når alle sider av saken er avdekket. Nestleder Magne Mæhre i Finansstyret redegjorde på vegne av Samfundet fra Storsalens talerstol.

— Den aktuelle hendelsen har ikke vært godt nok håndtert av Studentersamfundet. Det er ikke akseptabelt av oss, men det har vært en øyeåpner. Vi har ikke vært gode nok på datasikkerhet og personvern.

Mæhre fortalte at de skal forbedre holdningene som ledet til at tre og et halvt år med søkertekster ble tilgjengeliggjort. — Vi går nå gjennom alle datasystemer og databaser for å sjekke om de inneholder utilsiktet informasjon.

Kun gode hensikter

Bakgrunnen for hendelsen er et ønske fra Samfundets side om å gjøre kildekoden til Samfundet.no tilgjengelig for alle.

— Vi ønsket å dele det store og det gode arbeidet på Samfundet med flere. Med å dele kildekoden ønsket vi å bli med i den globale «open source»-bevegelsen, men i tillegg til kildekoden ble det, beklageligvis, lagt med loggfiler som ikke hører til offentligheten, sier Mæhre.