Aftonbladet skriver om en kvinna som upptäckt att hennes Telia-fakturor finns synliga på nätet för vem som helst att titta på. Det här är ett ”avslöjande” som jag väntat på i flera år. Det är nämligen ett problem som hänger ihop med bankernas tjänst E-faktura.
Den brukar se ut ungefär så här i de flesta internetbanker:
Under kolumnen ”OCR-nummer” finns en klickbar länk. När man klickar på den länken öppnas ett nytt fönster där man kan se den fullständiga fakturan. Vissa leverantörer visar fakturan som HTML och andra som PDF. Det är en praktisk funktion när man undrar över detaljerna bakom beloppet eller behöver skriva ut fakturan för bokföringsunderlag.
Problemet här ligger i att länken leder till en extern sajt, helt skild från din internetbank. I fallet med Telias E-faktura ser en länk ut ungefär så här:
https://ibank.mobile.telia.se/diawp/default.jsp?spice=185c7812ff05892a85925&inv=123456789
(påhittade värden)
Den sista delen ser ut att vara fakturanumret och dessförinnan finns ett unikt, någorlunda slumpmässigt ID. Det här betyder att vem som helst som har den här länken kan titta på fakturan. Japp. Vem som helst.
Ett problem i såna sammanhang är att det finns sökmotorer som ägnar sina digitala liv åt att hitta URLar. På den här typen av sajt brukar man därför be väluppfostrade sökmotorer att ignorera allt de hittar genom att skapa en ”robots.txt” med lämpliga direktiv. Men frågar man Telias E-faktura-server efter en robots.txt är allt man får en 404. De har inte ens skapat en sådan…
wget https://ibank.mobile.telia.se/robots.txt
–2013-08-12 20:41:33– https://ibank.mobile.telia.se/robots.txt
Resolving ibank.mobile.telia.se (ibank.mobile.telia.se)… 78.41.242.7
Connecting to ibank.mobile.telia.se (ibank.mobile.telia.se)|78.41.242.7|:443… connected.
HTTP request sent, awaiting response… 404 Not Found
2013-08-12 20:41:33 ERROR 404: Not Found.
En robots.txt är nu bara ett väldigt grundläggande skydd som i bästa fall betyder att när man googlar efter ett personnamn så kommer i varje fall inte de här fakturorna att dyka upp i resultatet. Om någon avsiktligt letar efter den här typen av uppgifter för en viss person innebär robots.txt inget skydd alls, då krävs andra åtgärder. Tyvärr känns det inte särskilt troligt att Telia har några andra skydd när de misslyckats med grundnivån.
Nu råkade det vara Telia som drabbades av ”avslöjandet”, men övriga företag som skickar E-fakturor har liknande system. URLen innehåller kundnummer/fakturanummer och någon form av unikt ID, oftast en GUID eller hash. I bästa fall har systemen någon form av varning som förhindrar scriptade attacker. Jag skulle inte lita för mycket på det.
(uppdatering, i dagens SvD säger Telias Hans G Larsson ”Vi måste hitta en lösning till det här i dag.”. Lycka till, säger jag.)