Läheltä piti!

Me oltiin tehty sillai on tymästi, että uuden verkkokaupan yhteen tiedostoon oli jäänyt debug-flagi päälle. Tarkoittaa sitä, että virhetilanteessa ohjelma kertoo epähallitusti virheen tiedot, eikä kaunista error-messagea.

Debug-flagi oli ns. kuolleessa kulmassa, eli tilanteessa jota ei pitäisi tapahtua. Vaan koska internet, niin tapahtuipa vaan. Lauantai-yönä palvelinten tietoturvaa parannettiin, uusimman linux-haavoittuvuuden takia. Lyhyen hetken tietokantapalvelin oli nurin ja verkkokauppa oksensi debug-flagin ansiosta koodia näytölle.

Ohjelman oksentama koodi sisälsi todennäköisesti salasanoja, jotka todennäköisesti oli, nyt jo alas ajetun, testiympäristön palvelimen salasanoja. Salasanojapa kuitenkin. Huomattiin tää juttu heti aamusta ja kymmeneltä oltiin hommissa. Palvelinympäristön salasanat vaihdettiin varmuuden vuoksi ja Planeetta Internet pystyi vahvistamaan, ettei tietokantaan tai verkkokaupan tietoihin ollut kukaan ulkopuolinen tässä lyhyessä ajassa päässyt kiinni.

Aika, jolloin palvelimen salasana oli nähtävillä, oli tosi lyhyt (noin 5min) ja kaikki tarvittavat salasanat oli vaihdettu alle tuntiin siitä, kun ongelma havaittiin.

Itse tietokantayhteydet, joihin siis tallennetaan verkkokaupan tietoja, on suojattu paitsi vahvoilla salasanoilla ja rajoitetuilla oikeuksilla mutta myös ip-rajoituksilla. Eli tietokantaan ei pysty kirjautumaan sisään muualta kuin Varustelekan IP:stä ja meidän IP:stä, siis vaikka tietäisikin salasanat joilla pääsee sisään.

Tämän lisäksi ME EMME tallenna asiakkaista kriittistä tietoa, kuten sosiaaliturvatunnuksia, maksuvälineiden tietoa, pankkitietoja tai muutakaan tietoa, jolla jokin ulkopuolinen taho voisi aiheuttaa ongelmia Varustelekan asiakkaille.

Asiakastilin luoneiden asiakkaiden tilitiedot toki ovat tallennettu tietokantaan. Sähköpostiosoite ja salasana. Salasanat on toki kryptattu käyttäen suolaus-avainta ja bcrypt (https://en.m.wikipedia.org/wiki/Bcrypt) salaustekniikkaa. Eli vaikka joku saisikin käsiinsä asiakastietoja, on salasanat käytännössä mahdotonta murtaa.

Me suositellaan joka tapauksessa, että asiakkaat huolehtivat järkevästi tunnuksistaan. Suositellaan vähintään kymmenen merkeistä salasanaa jossa on isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Kahta samaa salasanaa ei myöskään kannata pitää eri palveluissa, vaan olis kaikista paras, että joka sivulle olisi oma salasana.

Eli tl:dr: oltiin tyhmiä, korjattiin tilanne ja varmistettiin, että kukaan ulkopuolinen ei ole päässyt kiinni tietokantaan. Varmistettiin kanssa, että näin ei voi käydä enää koskaan.

Store

Hankasuontie 11 A
00390 Helsinki

Mon-Fri 10:00-20:00
Sat 10:00-19:00
Sun 12:00-17:00

Exceptions to opening hours on the Store page.

Social media

Propaganda

Subscribe to our propaganda messages to stay informed! You'll get useful tips and tricks, funny stories on what we've been up to, and special offers straight to your inbox.
By subscribing you agree to the terms described in our Privacy Notice.

Contact us

Tel: +358 10 320 3813

[email protected]

Mon-Fri 08:00-20:00 EET
Sat 10:00-18:00 EET
Sun 10:00-18:00 EET

See all Contact Information.

Secure payment

Delivery methods

Copyright © 2024 Varusteleka Oy | Business ID 2082907-8 | EU VAT number FI20829078