IT-experter: Säkerhetsbrister i stor ridskoletjänst

– Det var när jag höll på att registrera mig på Minridskola.se som jag såg att hemsidan helt saknade TLS-kryptering. Det innebär att mina användaruppgifter inklusive lösenord skulle skickas helt oskyddat över internet till deras servrar, säger Andreas Teodorsson.

Han läser fjärde året rymdteknik på Luleå Tekniska Universitet i Kiruna, och går på ridskola på fritiden.

Flera brister

När Ridsports reporter gick in på sajten Min ridskola i tisdags varnade webbläsaren för att sidan inte är säker. Det var också detta meddelande som fick Andreas Teodorsson att undersöka sidan mer noggrant.

– Jag hittade ett flertal brister i tjänsten. Lösenord lagras okrypterat och lösenord får ha en längd på max tio symboler, säger Andreas Teodorsson.

Någon skulle alltså kunna ta sig in i systemet och radera eller ändra uppgifter om till exempel ridskoleryttare.

Dementerar säkerhetsproblem

Men enligt Ragnar Elmquist, systemutvecklare på Prosperous AB som sköter Min ridskola, är sajten säker. Han hävdar att företaget inte lagrar lösenord okrypterade.

– Vi har absolut inga säkerhetsproblem. Bakom skalet kan de inte se vad som finns – vi har absolut bra säkerhet. Det finns inga hemligheter på Min ridskola, man kan få de uppgifterna från en länsstyrelse. Vem skulle lägga ner så mycket jobb? Det finns liksom ingen vinst med det, säger Ragnar Elmqvist.

Han har fått påringning minst två gånger om säkerhetsbristerna på sajten, men inget har hänt. När Ridsport ringer tar det bara några timmar innan Min ridskola uppdaterats från krypteringen TLS 1.0, som inte stöds längre, till TLS 1.2.

I dag använder 68 ridklubbar i landet tjänsten. Säkerhetshålen är så allvarliga att de riskerar dataintegriteten hos de över 30 000 medlemmar och de ridklubbar som använder tjänsten, menar Andreas Teodorsson.

”Bra att det uppmärksammas”

Pontus Johnson, professor på KTH med inriktning mot cybersäkerhet, tycker att det är bra att tidningar uppmärksammar säkerhetsbrister så att företag får incitament att förbättra säkerheten i sina system.

– Om det stämmer att glömda lösenord skickas till användaren via epost, vilket tyvärr inte vore förvånande, innebär det att någon som avlyssnar mejltrafiken kan snappa upp en användares lösenord och logga in på sajten som den användaren, säger Pontus Johnson.

Han berättar att det kan innebära tillgång även till andra tjänster.

– Så blir det om användaren använder samma email och lösenord för flera tjänster, säger Pontus Johnson.

Ragnar Elmquist säger att det stämmer att lösenorden skickas okrypterade.

– Chansen att någon skulle lyssna av är extremt minimal. Vem skulle vilja lyssna av trafiken på Min ridskola, jag vet inte, säger Ragnar Elmqvist.

Fallerar i Internetstiftelsens test

Även säkerhetschefen på Internetstiftelsen, Anne-Marie Eklund Löwinder, ser stora brister i sajten.

– Man har inte en bra säkerhetshygien på den sajten och det skapar otrygghet för alla som använder tjänsten. Jag körde Min ridskola genom ett testverktyg och just att de har så uråldriga krypteringslösningar för skydd mellan server och webbklient – det är verkligen, verkligen inte bra, säger Anne-Marie Eklund Löwinder.

Om man inte skyddar databasen där användares inloggningsuppgifter lagras kan det innebära en risk för läckage av personuppgifter och det skulle kunna stå i strid med GDPR, enligt Anne-Marie Eklund Löwinder.

När det gäller ridskolor som kanske inte har full koll på GDPR är det extra viktigt att den som levererar en tjänst är noggrann med säkerheten, så att inte ridskolan bryter mot GDPR.

– Där faller ansvaret tungt på den som levererar tjänsten, säger Anne-Marie Eklund Löwinder.

På Min ridskola menar Ragnar Elmquist att han aldrig haft inloggningsproblem eller sett säkerhetsvarningar.

– Det har jag aldrig sett, säger han.