Virhe avasi asiakkaille pääsyn Soneran intranetiin
0
Asiakastietoja, henkilöstöhaku, ohjeet intranet-sivuston käyttöön ja niin edelleen. Tietokone-lehden lukija ihmetteli iltapäivällä joutuneensa aivan väärään paikkaan yrittäessään saada valokuitupohjaista Teliasoneran yhteyttään toimimaan. Operaattorin mukaan vikatilanne korjattiin nopeasti, eivätkä asiakkaat päässeet käsiksi luottamukselliseen tietoon.
Sivustolta intranet.teliasonera.net on ollut luettavissa muun muassa asiakkaiden nimiä, asiakastapahtumia sekä työntekijöiden nimiä. Samoin asiakkaan nähtävissä oli ruokalistaa, taloushallinnon ohjeita ja muita tyypillisiä intranet-sivustojen sisältöjä.
Valokuituliittymän käyttäjä pääsi muun muassa lukemaan Soneran yritysturvallisuusyksikön jäsenten nimet. Monilla sivuilla lukee selkeästi "Internal" eli vain sisäiseen käyttöön.
Tietoturvapäällikkö ja Csirt-ryhmän vetäjä Arttu Lehmuskallio Teliasonerasta kertoo Tietokone-lehdelle, että valokuituliittymien asiakkaat pääsivät teknisen vian takia Teliasoneran sisäiseen hakukoneeseen, jonka kautta tuli muassa linkkejä asiakas- ja henkilöstösivuille.
Tietokone-lehden lukija huomasi tilanteen noin klo 14 alkaen. Teliasoneran mukaan ongelma oli korjattu noin klo 17:30:een mennessä.
Lehmuskallio sanoo, että normaalisti asiakkaat päätyvät erityiselle aloitussivulle, jos liittymää ei ole vielä kytketty tai laskut ovat maksamatta. Tässä tapauksessa asiakas ohjautuikin väärään paikkaan ja pääsi Teliasoneran sisäiseen Googlen appliance-laitteen pyörittämään hakusivustoon.
Teknisesti intranet-sivustolle päätyminen voi johtua operaattorin verkosta riippuen vain yhdestä mpls-määritysvirheestä tai pieleen määritetystä rivistä reititystaulussa. Yleensä näin helpolla virhe ei kuitenkaan toteudu, vaan intranetiin pääsy on rajattu esimerkiksi erillisellä autentikoitumisella.
Monikaan ei ilmeisesti huomannut aukkoa
Arttu Lehmuskallion mukaan asiasta ei tullut muita kuin Tietokone-lehden toimituksen yhteydenotto. Hän kiitteleekin asiakasta siitä, että tämä toimitti tiedon havaitsemastaan ongelmasta nopeasti. Hänen mukaansa pääsy sivustolle oli kaikilla samaa valokuitutekniikkaa käyttävillä kiinteistöasiakkailla.
"Luottamuksellisia tietojamme ei ollut vaarassa, mutta olihan siellä asioita, joita asiakkaan ei kuuluisi nähdä", toteaa Lehmuskallio. "Kyseessä ei ollut hyppy intranetiimme, mutta hakukoneen välimuistin kautta osa sivuista on ollut avattavissa."
Tietokone-lehteen yhteyttä ottanut käyttäjä kuitenkin sanoo, että alkuvaiheessa myös suorat linkit toimivat, eivät vain välimuistin linkit.
Teliasonera on viemässä valokuitua voimakkaasti kerros- ja rivitaloyhtiöihin eri puolilla maata. Operaattorin tavoite on kattaa vuoden loppuun mennessä yli 400 000 kotia. Se myös "päivittää" vanhemman tekniikan opiskelija-asuntoloita valokuituaikaan esimerkiksi Hoasin taloissa.
