NTNUI-brukernes profilinformasjon på avveie
Etter hackerangrepet på NTNUIs nettsider i slutten av mars viser det seg at hackerne hadde full adgang til personlig informasjon. NTNUI-leder Fredrik Lundquist mener situasjonen er under kontroll.
Tekst: An Nguyen, Anders Påsche
Natt til søndag 22. mars ble NTNUI-nettsidene hacket av den islamistiske hackergruppa AnonCoders. I etterkant viser det seg at alt av informasjon om brukerne var fritt tilgjengelig fram til sikkerhetshullet ble tettet igjen.
Informatikkstudent Michael McMillan ved NTNU var en av de første til å oppdage hvilken type sikkerhetshull det var snakk om, og kan bekrefte dette.
– Alt av profilinformasjon som hver enkelt bruker har lagt inn, for eksempel bosted, navn og epostadresser, har vært fritt tilgjengelig for enhver som har benyttet seg av dette sikkerhetshullet, sier McMillan.
Ifølge McMillan er imidlertid passordene trygge.
– Passordene hashes, det vil si at en matematisk funksjon beskytter dem fra å være leselige for andre.
Men selv om passordene var hashet betyr ikke dette at medlemmene til NTNUI burde fortsette å bruke passordet, hverken på NTNUI.no eller andre tjenester, forteller McMillan.
– De bør, som med alt annet, anses å være på avveie.
Hull i sikkerheten siden oktober
Grunnen til at hackerne kunne ta kontroll over nettsiden var en svakhet i publiseringsplattformen Drupal, som brukes på ntnui.no. Sikkerhetshullet som gjorde hackingen mulig har eksistert helt siden oktober.
McMillan tror det er stor sjanse for at NTNUI kan ha blitt kompromittert tidligere.
– Gruppen som hacket nettsiden har brukt en «webscanner» som automatisk tester enkeltsider for denne typen sikkerhetshull. Siden dette sikkerhetshullet har vært kjent såpass lenge, må man anta at flere har oppdaget dette tidligere.
Anbefalt å ta ned nettsiden
Informatikkstudent Michael McMillan anbefalte NTNUI å ta ned nettsiden rett etter hendelsen.
– Det er veldig vanlig for denne typen hackere å legge igjen bakdører, slik at de fortsatt har tilgang dersom et slikt sikkerhetshull blir tettet. Min anbefaling var at siden ble tatt ned fram til de fikk opprettet en helt ny database og fikk ført over alt av informasjon dit.
Anbefalingen ble etterfulgt mandag kveld etter hendelsen, og McMillan har bistått i etterkant med patching av sikkerhetshullet.
– Jeg møtte Fredrik og patchet hullet slik at det ikke kan utnyttes videre, sier han.
Vurderer å fjerne brukerkontoer
NTNUI-leder Fredrik Lundquist bekrefter at sikkerhetshullet nå er tettet. Planen videre er å vurdere om de egentlig trenger brukerkontoer på ntnui.no.
– Brukerkontoene har svært begrenset funksjonalitet. De er der kun for å opprette epostlister og sende ut møtereferat. Vi må ta en ny kikk på funksjonaliteten, og se om vi egentlig trenger brukerkontoer, sier Lundquist.
I løpet av dagen skal en mail som varsler brukerne om kompromitteringen være sendt.
