Flere politiske partier dumper i sikkerhedstest af hjemmesider

3. juni 2019 - Cybertrusler har en fremtrædende rolle i dag, og det er de politiske partier klar over. Men hvordan står det til med sikkerheden på deres hjemmesider? To af Dubex’ sikkerhedskonsulenter har hjulpet Berlingske med at teste det – og de fandt store sikkerhedshuller.

Vi er midt i en valgkamp, og det er set før, at politiske partiers hjemmesider bliver saboteret og misbrugt i kampens hede.

Derfor har Berlingske sat sig for at undersøge, hvordan det står til med sikkerheden på de forskellige danske partiers hjemmesider med hjælp fra to af Dubex’ egne sikkerhedskonsulenter.

Niels Ulrich Matthiesen og Keld Norman har udført en standardtest, som kortlægger antal sårbarheder på partiernes hjemmesider. Det omfatter bl.a. test af sårbarheder i CMS-login, tilgængelige metadata, åbne porte og en række andre potentielle problemer.

Fire politiske partier får dumpekarakter

13 partiers hjemmesidesikkerhed er blevet testet og har fået karakterer, der afspejler, hvor mange sårbarheder, der blev fundet. Radikale Venstre og Kristendemokraterne er blandt de partier, der klarer sig værst. I alt dumpede fire partier med et brag.

"Jeg vil sige, at det er meget, meget alvorligt," udtaler Keld til Berlingske. "Det er præcis den type sårbarheder, som vi ser hackere udnytte, når det går galt."

Du kan få adgang til den fulde oversigt over partierne på berlingske.dk

Partierne med dumpekarakter blev informeret om sikkerhedshullerne, så de har mulighed for at rette op på det – noget som partierne straks er gået i gang med.

Keld stod bag en lignende undersøgelse for halvandet år siden, og selvom sikkerheden stadig kan forbedres, ser det generelt bedre ud denne gang, påpeger Niels.

Lækkede kodeord truer også cybersikkerheden

Partiernes hjemmesider er ikke de eneste mulige sikkerhedsbrister ved denne valgkamp.

Sidste uge bragte Berlingske en artikel om, at over 300 mailadresser fra Folketinget og partierne optræder i åbne databaser, der blotlægger nye og gamle kodeord. Artiklen er også baseret på en undersøgelse, som Keld Norman har stået for.

Disse kodeord kan bl.a. bruges til at få adgang til personernes sociale medier eller fortrolige dokumenter, hvis de ikke er blevet skiftet, eller hvis der ikke fx bruges to-faktor-godkendelse.

Kodeordene er blevet lækket, fordi medarbejdere og folkevalgte har brugt deres ft.dk-mailadresse til at logge på eksterne tjenester som sociale medier og netbutikker. Samtidig optræder der også meget simple kodeord, der nemt kan knækkes med automatiske værktøjer. Det er fx kodeord, der indeholder navne, fødselsår og bynavne.

Trusselsniveauet er højt op til et valg, og vi skal undgå, at vores politikere bliver lette ofre. Derfor er det vigtigt, at de ikke kun snakker om cybertrusler men også selv gør noget ved deres egen it-sikkerhed. 

5 samfundstendenser, der påvirker din it-sikkerhed i 2019

Udfordringerne for it-sikkerheden i Danmark har aldrig været større. Men hvor kommer truslerne fra? Og hvilke overordnede tendenser påvirker trusselsbilledet? Vi har bedt Dubex’ CTO Jacob Herbst om at udpege 5 af de væsentligste tendenser, der har stor indvirkning på it-sikkerheden i 2019.

Tusindvis af danskere er i fare for at blive ramt af remote desktop-exploit

Sårbarheden i Microsofts Remote Desktop Protocol, kendt som CVE-2019-0708, kan ramme flere tusinde danskere, hvis der frigives et exploit. Det viser en scanning af danske IP-adresser. Der er tegn på, at flere af systemerne tilhører læger, it-afdelinger, foreninger eller skoler.

Kan man tillade sig at bruge red teams?

Kan man tillade sig at sende en lokkedue for at teste sikkerheden, når det involverer rigtige mennesker? Det må overvejes, inden vi gør brug af red teams, for det er i høj grad også et etisk dilemma. Derfor arbejdes der lige nu på et branchekodeks.

Tak for din henvendelse. Du hører fra os hurtigst muligt.