Skuffende håndtering av persondata fra Samfundet

Fredag morgen kom det fram at Samfundets opptaksdatabase hadde lekket ut på Internett i løpet av natten. Epostadresser, passord og søknadstekster fra perioden 21. august 2008 til 7. januar 2012 var ved en feil blitt tilgjengeliggjort på nett, men ifølge samfundetleder Øyvind Bentås ble dataene umiddelbart fjernet da lekkasjen ble oppdaget.

Fem personer hadde tilgang til dataene, mente Bentås, som også forsikret om at passordene var blitt kryptert. Nå kan det derimot vise seg at dette ikke stemmer.

Ifølge en anonym kilde som har kontaktet dusken.no per epost er flere av opplysningene fra Studentersamfundet oppriktig feil.

– Det er ikke fem personer som har hatt tilgang, da dette spredte seg kjapt når det ble oppdaget. Jeg kjenner personlig til mange personer som har hatt tilgang på disse dataene, forteller vår kilde.

– Vet du hvor mange som kan ha fått tilgang til disse dataene?

– – Jeg vet at disse dataene har blitt lastet ned, dermed er det egentlig umulig å anslå. Av de jeg kjenner, så sprer man ikke den informasjonen videre. Altså, folk er ordentlige. Jeg fikk tilgang til en liste med kun hashene. Denne gir informasjon om passordene, men ingenting som kan brukes videre. Slike lister er interessante for folk som jobber med sikkerhet og nerder som meg.

Kritiserer Samfundets rutiner

Kilden retter spesifikt kritikk mot Studentersamfundets rutiner rundt søknadstekster i sin epost.

– At søknadstekster er offentlige er totalt uholdbart. At folk som jobber i it på Samfundet har tilgang er også uholdbart. Dette er svært personlig informasjon som burde slettes rett etter søknadsprosessen er over. Jeg er utrolig skuffet over Samfundets håndtering av persondata.

Ifølge Samfundet var passordene kryptert da de ble lekket ut. Vår kilde mener derimot at dette er en sannhet med modifikasjoner.

– Når krypteringen er gjort på en så svak måte som dette er det å lure offentligheten å si at passordene ikke ble lekket.

Dårlig kryptering

Passordene var kryptert med såkalt SHA-1-kryptering, Secure Hash Algorithm 1. Dette er en matematisk funksjon som kun går an å løse i én retning.

– For eksempel vil ordet «passord» uttrykkt gjennom SHA1 resultere i en «hash» som ser slik ut: «0bd181063899c9239016320b50d3e896693a96df». Dette er det som lagres i databasen, altså ikke selve passordet. Det er ikke mulig å få tak i passordet ved hjelp av denne verdien. Vanligvis pleier man å blande passordet med et tilfeldig tall først, for så å lagre hashen. Dette har ikke Samfundet gjort.

SHA1-kryptering blir ikke lenger sett på som en trygg form for kryptering av kryptoanalytikere.

– Problemet med å kun lagre hashen er at det finnes tabeller med millioner av vanlige passord og hashene de resulterer i. Disse er også gjort sårbare. Så hvis man dermed for eksempel har hashen «e5e9fa1ba31ecd1ae84f75caaa474f3a663f05f4» kan man søke den opp på bestemte nettsider, eller bare laste ned en slik tabell og gjøre et effektivt søk på alle.

En stor andel av hashene som ble lekket i løpet av natten var i en slik tabell, forteller vår kilde. Disse passordene kunne man derfor skaffe i klartekst, sammen med brukernavn.

En stor sikkerhetsrisiko

– Syv brukere hadde passordet «samfundet». Dette er ikke bare en sikkerhetsrisiko mot innlogging på Samfundet sine sider, da vi vet at mange bruker samme passord på alle sider de trenger innlogging på. Dette burde Samfundet informere om, slik at brukere av systemet ikke får innbrydd på andre tjenester de bruker, som for eksempel Facebook og Gmail.

Vår kilde opplyser om at vedkommende ikke har hatt tilgang til annet enn krypterte passord, og at analysen er gjort på bakgrunn av disse. Når det gjelder søknadstekstene kommer disse opplysningene fra kildens bekjente, som har har funnet sine egne søknadstekster med blant annet navn og adresse i de lekkede opplysningene.