Sverige
19 mars 20:00
Ridsportplus

IT-experter: Säkerhetsbrister i stor ridskoletjänst

DatasäkerhetFlera allvarliga säkerhetshål finns i administrationsverktyget Min ridskola, enligt flera IT-experter. Lösenord skickas utan kryptering, och utomstående skulle kunna radera eller ändra medlemmars uppgifter. - Det kan stå i strid med GDPR, säger Internetstiftelsens säkerhetschef till Ridsport efter att ha granskat det populära verktyget.

IT-experter: Säkerhetsbrister i stor ridskoletjänst
Flera IT-experter varnar för stora brister i populär ridskoletjänst. Foto: iStock

Hej, den här artikeln tillhör Ridsport Plus - vårt låsta material.

För att snabbt läsa vidare har du två möjligheter:

Redan prenumerant?

Prenumerera på Ridsport

– Det var när jag höll på att registrera mig på Minridskola.se som jag såg att hemsidan helt saknade TLS-kryptering. Det innebär att mina användaruppgifter inklusive lösenord skulle skickas helt oskyddat över internet till deras servrar, säger Andreas Teodorsson.

Han läser fjärde året rymdteknik på Luleå Tekniska Universitet i Kiruna, och går på ridskola på fritiden.

Flera brister

När Ridsports reporter gick in på sajten Min ridskola i tisdags varnade webbläsaren för att sidan inte är säker. Det var också detta meddelande som fick Andreas Teodorsson att undersöka sidan mer noggrant.

– Jag hittade ett flertal brister i tjänsten. Lösenord lagras okrypterat och lösenord får ha en längd på max tio symboler, säger Andreas Teodorsson.

Någon skulle alltså kunna ta sig in i systemet och radera eller ändra uppgifter om till exempel ridskoleryttare.

Dementerar säkerhetsproblem

Men enligt Ragnar Elmquist, systemutvecklare på Prosperous AB som sköter Min ridskola, är sajten säker. Han hävdar att företaget inte lagrar lösenord okrypterade.

– Vi har absolut inga säkerhetsproblem. Bakom skalet kan de inte se vad som finns – vi har absolut bra säkerhet. Det finns inga hemligheter på Min ridskola, man kan få de uppgifterna från en länsstyrelse. Vem skulle lägga ner så mycket jobb? Det finns liksom ingen vinst med det, säger Ragnar Elmqvist.

Han har fått påringning minst två gånger om säkerhetsbristerna på sajten, men inget har hänt. När Ridsport ringer tar det bara några timmar innan Min ridskola uppdaterats från krypteringen TLS 1.0, som inte stöds längre, till TLS 1.2.

I dag använder 68 ridklubbar i landet tjänsten. Säkerhetshålen är så allvarliga att de riskerar dataintegriteten hos de över 30 000 medlemmar och de ridklubbar som använder tjänsten, menar Andreas Teodorsson.

”Bra att det uppmärksammas”

Pontus Johnson, professor på KTH med inriktning mot cybersäkerhet, tycker att det är bra att tidningar uppmärksammar säkerhetsbrister så att företag får incitament att förbättra säkerheten i sina system.

– Om det stämmer att glömda lösenord skickas till användaren via epost, vilket tyvärr inte vore förvånande, innebär det att någon som avlyssnar mejltrafiken kan snappa upp en användares lösenord och logga in på sajten som den användaren, säger Pontus Johnson.

Han berättar att det kan innebära tillgång även till andra tjänster.

– Så blir det om användaren använder samma email och lösenord för flera tjänster, säger Pontus Johnson.

Ragnar Elmquist säger att det stämmer att lösenorden skickas okrypterade.

– Chansen att någon skulle lyssna av är extremt minimal. Vem skulle vilja lyssna av trafiken på Min ridskola, jag vet inte, säger Ragnar Elmqvist.

Fallerar i Internetstiftelsens test

Även säkerhetschefen på Internetstiftelsen, Anne-Marie Eklund Löwinder, ser stora brister i sajten.

– Man har inte en bra säkerhetshygien på den sajten och det skapar otrygghet för alla som använder tjänsten. Jag körde Min ridskola genom ett testverktyg och just att de har så uråldriga krypteringslösningar för skydd mellan server och webbklient – det är verkligen, verkligen inte bra, säger Anne-Marie Eklund Löwinder.

Om man inte skyddar databasen där användares inloggningsuppgifter lagras kan det innebära en risk för läckage av personuppgifter och det skulle kunna stå i strid med GDPR, enligt Anne-Marie Eklund Löwinder.

När det gäller ridskolor som kanske inte har full koll på GDPR är det extra viktigt att den som levererar en tjänst är noggrann med säkerheten, så att inte ridskolan bryter mot GDPR.

– Där faller ansvaret tungt på den som levererar tjänsten, säger Anne-Marie Eklund Löwinder.

På Min ridskola menar Ragnar Elmquist att han aldrig haft inloggningsproblem eller sett säkerhetsvarningar.

– Det har jag aldrig sett, säger han.

Fakta

Vad betyder termerna?

TLS: Transport Layer Security, TLS, är ett kryptografiskt kommunikationsprotokoll som är en öppen standard för säkert utbyte av krypterad information mellan datorsystem.
(Källa: Wikipedia)

Cybersäkerhet: Attacker mot digitala tillgångar, så kallade cyberattacker, ökar ständigt i antal. Ofta rör det om försök att installera skadlig kod med syfte att orsaka skada. Cyberattacker kan resultera i raderade filer, tjänster som inte fungerar, låsta system och obrukbara datorer.
(Källa: Ne.se)

GDPR: Dataskyddsförordningen, GDPR , är en förordning som reglerar skydd för behandling av personuppgifter samt det fria flödet av sådana uppgifter. Förordningen trädde i kraft i maj 2018. I och med den tekniska utvecklingen finns ett större behov av skydd för personuppgifter än tidigare.(Källa: Ne.se)

Kryptering: Att i kommunikationssystem dölja information för obehöriga och/eller säkerställa äkthet hos informationgenom att utnyttja en för de obehöriga användarna hemlighållen nyckel.
(Källa: Ne.se)

Så arbetar Ridsport

Grunden i vår journalistik är trovärdighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Ridsport är oberoende och fristående i förhållande till ekonomiska, privata, politiska och andra intressen.

BESTÄLL NU

Köp Ridsport Komplett från 100 kr i månaden
Hingstar Online

Just nu 122 hingstar i vår databas

Visa alla hingstar

Ridsport digital

59:- i månaden