Kommuners og virksomheders »sikre« e-mail havde enorm sikkerhedsbrist

Et e-mailsystem, der bliver brugt af en række kommuner og virksomheder, har stået pivåbent for personer med interesse i at få fat i vedhæftede dokumenter. Det skriver mediet Version2.

Et e-mailsystem brugt af et et stort antal kommuner, forsikringsselskaber, advokatfirmaer og andre virksomheder og institutioner har haft en graverende sikkerhedsbrist, der gjorde det muligt at tilgå følsomme oplysninger. Det skriver Version2, et internetmedie for IT-professionelle udgivet af Ingeniøren.

Der er tale om tjenesten med det skråsikre navn »sikker@mail«, der har flere end 350.000 brugere fordelt på en række kunder – blandt andet 48 kommuner.

Bristen har gjort det muligt at åbne vedhæftede dokumenter i e-mail uden at være logget på tjenestens servere, skriver Version2. Uden større problemer har en eventuelt snagende person kunnet få adgang til dokumenterne ved at ændre i URLen.

En URL – Uniform Resource Locator – bruges til at beskrive adressen på en bestemt ressource på internettet.

Logiva, der er virksomheden bag e-mailtjenesten, blev opmærksom på bristen 16. januar og lukkede kort efter alle sine servere.

Ifølge Jens Mønster Sørensen, der er ansvarlig for udviklingen af sikker@mail, kan man ikke nødvendigvis sige, at antallet af berørte kunder stemmer overens med antallet af servere, da antallet af kunder pr. server varierer meget, fortæller han til Version2.

Sagen er nu anmeldt til Datatilsynet som et potentielt sikkerhedsbrud.

»Det er rigtigt, rigtig trist og kedeligt. Jeg kan kun stå med bøjet hoved, andet kan jeg ikke sige,« siger Jens Winther Wullf, der er CEO i Logiva til Version2.

Det er ikke muligt at se, om sikkerhedshullet er blevet udnyttet til at få adgang til kunders oplysninger, da data på serverne slettes løbende, og det kun er muligt at få adgang til vedhæftede filer og dokumenter fra serverne, der er op til 30 dage gamle.