København Zoo blev hacket: Søren fik på få minutter adgang til flere hundrede personer med årskort

Søren Louv-Jansen fik adgang til hundredvis af årskortindehaveres oplysninger i København Zoos login-system. København Zoo undersøger sagen og har lukket for, at brugere kan logge ind på hjemmesiden.

Softwareingeniør Søren Louv-Jansen kunne på kun 15 minutter konstruere et program, der kunne skaffe ham adgang til adskillige hundrede af København Zoos årskortindehaveres profiler. »Det er selvfølgelig noget, vi tager alvorligt,« siger Jacob Munkholm Hoeck, presse- og kommunikationsansvarlig i København Zoo. Fold sammen
Læs mere
Foto: Mads Claus Rasmussen/Ritzau Scanpix

København Zoo bør tilsyneladende få styr på sikkerheden, for årskortindehaveres data er for lette at få fingre i.

Det konstaterer softwareingeniør Søren Louv-Jansen, der torsdag fortalte til Politiken, at han på få minutter fik adgang til flere hundrede personers data som adresse, navn, telefonnummer og e-mail.

Berlingske har talt med Søren Louv-Jansen, der forklarer, at han selv har et årskort til København Zoo og opdagede sikkerhedsbristen, da han skulle logge ind på sit eget årskort på www.zoo.dk.

Han havde glemt sin kode, men fandt ud af, at adgangskoden var hans postnummer. Søren Louv-Jansen fortæller, at han undrede sig over sin adgangskode, fordi han ikke selv havde valgt den.

Få minutter senere

Softwareingeniøren forsøgte at ændre sin kode, hvilket ikke var muligt. Det undrede ham, og efterfølgende fandt han en måde, hvorpå han kunne finde brugernumre, som brugere sammen med deres kode skal bruge til at logge ind med.

»Brugernavnet er et langt tal. Men problemet er, at København Zoo har brugt fortløbne numre. Så hvis mit nummer er 102020 er næste nummer 102021. Så jeg kunne bare løbe tallene igennem. Jeg skrev et nummer ind i login-feltet og prøvede forskellige københavnske postnumre, og pludselig var jeg inde på en andens profil,« forklarer han.

Efterfølgende lavede Søren Louv-Jansen et program, der automatisk kunne løbe forskellige numre og postnumre igennem. Og det virkede.

»Det tog mig 10-15 minutter at lave programmet,« siger han.

Få minutter senere havde han loginoplysninger til flere hundrede årskortindehaveres profil. Her kunne han trække førnævnte data som adresse, navn, telefonnummer og e-mail ud. På nogle profiler var det muligt for ham at forlænge eller opsige medlemskaber.

»Det er meget alarmerende, fordi nogle personer med årskort til København Zoo kan have hemmelig adresse, og de forventer jo ikke, at andre kan finde frem til den. De forventer, at når de giver den slags oplysninger videre, bliver holdt hemmeligt,« siger softwareingeniøren.

Søren Louv-Jansen forklarer, at det ikke er alle, der kan lave samme finte, fordi han som beskrevet udarbejdede et program, der kunne gøre det. Men alle kan taste tallene ind manuelt og efterfølgende gætte på postnumrene i adgangskodefeltet, påpeger han.

Zoo undersøger sagen

Søren Louv-Jansen tog kontakt til København Zoo og gjorde opmærksom på, hvad han havde opdaget.

»De har ikke helt været deres ansvar voksent. Men de har været meget positive over for mig. De har sagt tak og gjorde det i første omgang lidt sværere at logge ind. Nu har de helt lukket for, at folk kan logge ind,« siger han.

København Zoo bekræfter over for Politiken, at man har modtaget henvendelsen.

»En bruger har gjort os opmærksom på en mulig sikkerhedsbrist. Jeg kan ikke kommentere på, hvorvidt det er en brist eller ej. Det er vores IT-afdeling ved at undersøge. Men det er selvfølgelig noget, vi tager alvorligt, og noget vi kigger på med det samme,« siger presse- og kommunikationsansvarlig Jacob Munkholm Hoeck og understreger, at København Zoo overholder den gældende lovgivning om persondataopbevaring.

København Zoo har som nævnt lukket for, at brugere kan logge ind.