Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se och e-DN.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Nyheter

Allvarlig sårbarhet på Bris hemsida

Other: Skärmdump bris.se

Organisationen Bris har stängt ned sin sajt efter DN:s avslöjande om allvarliga säkerhetsbrister. Känsliga uppgifter om barns privata frågor till Bris har legat öppna för hackare att läsa.

Varje år vänder sig tiotusentals barn till organisationen Bris (Barnens rätt i samhället) med frågor om till exempel mobbning, familjekonflikter, självmordstankar och sexliv. En av kontaktvägarna är via hemsidan, www.bris.se.

Fram till onsdagen har Bris hemsida haft en allvarlig säkerhetslucka. Det handlar om en så kallad ”sql injection”, en känd sårbarhet som gör att utomstående med IT-kunskaper skulle kunna ta del av uppgifter ur databasen.

I databasen lagras till exempel loggar till ”Bris-chatten” där personer under 18 år mot löfte om anonymitet ställer frågor till kuratorer. I chattloggarna lagras hela konversationerna och de kopplas även till barnens användarnamn.

Under onsdagskvällen stängde Bris tillfälligt ned sin sajt Silvia Ernhagen, kommunikationschef på Bris, bekräftar säkerhetsluckan.

– Chattloggarna har man kunnat komma åt, men det kan man inte längre. Jag vill dock betona att det inte går att spåra identiteten på barnen.

Skulle man inte kunna identifiera en person genom användarnamnet eller uppgifter i konversationerna som kan vara av privat natur?

– Vi frågar aldrig efter var barnen bor eller vilken skola de går på. Den typen av information finns väldigt sällan. Min bedömning är att det är svårt att identifiera det enskilda barnet med hjälp av den informationen.

Bris har i dagsläget inga indikationer på att någon har utnyttjat sårbarheten. Den aktuella databasen hör till organisationens förra hemsida. Den nuvarande sajten, som inte har säkerhetshålen, togs i bruk år 2013. Konversationerna som har gått att läsa för utomstående är alltså minst två år gamla.

– Det ska inte vara möjligt att hacka sig in på vår hemsida över huvud taget. Vi ser väldigt allvarligt på om det finns brister i vårt system. Hela vår verksamhet bygger på att barnen kan vara anonyma om de vill. Det vill vi säkerställa till varje pris. Det är viktigt att barnen känner sig trygga, säger Silvia Ernhagen.

Uppgifter om samtal till Bris telefonlinje lagras inte i databasen och berörs alltså inte av säkerhetsluckan.

En annan brist hos Bris är att trafiken på hemsidan inte krypteras. All information skickas i klartext, vilket skulle kunna innebära att andra personer i samma nätverk kan se vad som skrivs. I teorin skulle alltså en förälder med ett särskilt datorprogram kunna se i realtid vad som barnen skriver.

– Det arbetet är i gång att åtgärda. Vi ser med jämna mellanrum över vår säkerhet, säger Silvia Ernhagen.

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.