Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se, e-DN och DN.Prio.

Med ett gratiskonto kan du följa skribenter och ämnen samt bokmärka artiklar.

Hej !
Mitt DN Ämnen jag följer Sparade artiklar Kundservice Logga ut
Sverige

Anonyma chattjourer öppna för avlyssning

Privata chattar till flera hjälporganisationer har varit möjliga att avlyssna, kan DN i dag avslöja.
Privata chattar till flera hjälporganisationer har varit möjliga att avlyssna, kan DN i dag avslöja. Foto: Cultura RM/Alamy

DN avslöjar. Chatten Jourhavande kompis dit barn kan vända sig i förtroende har varit möjlig att avlyssna.

Dagens Nyheter har i en rad ­artiklar det senaste halvåret skrivit om olika sårbarheter i vårt digitala samhälle.

I februari kunde vi visa att barns privata frågor till Bris har legat öppna för hackare att läsa. I dag kan DN avslöja ytterligare en allvarlig säkerhetslucka. Det handlar om företaget Netdialog som säljer den tekniska lösningen bakom chattar som används av flera stora hjälporganisationer.

En av kunderna är jourhavandekompis.se som drivs av Röda korsets ungdomsförbund. På hemsidan finns en chatt där barn och ungdomar upp till 25 år i förtroende kan ställa privata frågor, till exempel om funderingar kring sexliv och familjekonflikter. Under torsdagen stängde man chatten för att åtgärda problemen.

Säkerhetsbristen i Netdialogs chattar kallas för ”SQL injection” och är en av de allvarligaste sårbarheterna som kan finnas på en hemsida. Den innebär att utomstående med goda it-kunskaper skulle kunna ta del av uppgifter ur sajtens kärna – databasen. Vederbörande skulle i de här fallen till exempel kunna läsa chattloggar, avlyssna chattar eller kapa ett samtal och utge sig för att vara hjälporganisationen.

Andra berörda chattar är Rädda barnens ”Kärleken är fri” som beskrivs som en chatt ”för dig som känner att du inte får bestämma över ditt liv och din framtid”. ­Personalen som svarar har tystnadsplikt.

En annan av Netdialogs kunder är ”Prostitutionschatten” hos Malmö stad som är en stödtjänst som riktar sig till personer som säljer ­eller köper sex. Ytterligare en av företagets kunder är Barncancerfonden som har haft en chatt för personer som vill prata om barncancer.

Netdialog bekräftar säkerhetsbristerna. Inför DN:s publicering har företaget fått tid att täppa till luckorna.

– Det är förstås allvarligt att det har sett ut så här. Det är en miss av oss. Vi kommer nu att ta in en oberoende firma som ska genomföra ett större säkerhetstest. Samtidigt ska man komma ihåg att man aldrig kan vara hundraprocentig säker. Är du exponerad på internet så finns det alltid risker, säger Thomas ­Kilander, vd på Netdialog.

En it-kunnig person hörde tidigare i veckan av sig till DN. I ett mejl som även skickades till Netdialog berättar han hur han lyckades få tillgång till chattdatabasen hos företagets kunder med hjälp av den aktuella säkerhetsluckan. Mannen, som är anonym, uppger att syftet har varit att uppmärksamma på problemen för att förhindra eventuella framtida attacker. I mejlet bifogade han även ett bevis på att det går att hacka chattarna - ett exempel på ett utdrag ur en chattkonversation till ”Jourhavande kompis” från förra veckan. ”Jag blir relativt ofta trakasserad”, står det i ett av inläggen till organisationens chattoperatör. Exemplet är autentiskt, bekräftar Netdialog.

Ett sådant intrång kan göras med en helt vanlig webbläsare genom att skriva en särskild kod i adressfältet. DN:s källa har även upptäckt att alla lösenord lagras okrypterade i databasen, det vill säga i klartext. Det står i strid med gällande säkerhetspraxis i branschen. Källan skriver samtidigt att det inte finns något som tyder på att chattloggar eller annan information har spridits på internet.

Netdialog betonar att chattloggarna i de flesta fall gallras regelbundet, till exempel en gång i veckan. Rent teoretiskt skulle däremot en duktig hackare kunna kringgå detta genom att dagligen tömma databasen på information.

– Det här är så klart helt oacceptabelt. Vi blev väldigt oroliga när vi fick reda på detta. Vår chatt ”Kärleken är fri” vänder sig framför allt till barn och ungdomar som är utsatta för hedersrelaterat våld och förtryck, ­säger Jonas Nyström, regionchef på Rädda Barnen.

Netdialog har även flera medie­företag som kunder, däribland SVT, DN, ­Expressen och TV4.

Dessa chattar har också haft säkerhetsbrister, men chattarna är däremot inte privata utan har använts för till exempel livebevakningar av stora händelser eller chattar med läsare.

– Jag har tittat på loggarna och det är samtidigt viktigt att påpeka att det är mycket sällan som någon lämnar ut personuppgifter i en chatt. Chattarna sker i princip alltid anonymt, men det skulle förstås vara mycket olyckligt och olustigt om konversationer skulle hamna öppet på internet, säger Thomas Kilander.

Inga ip-nummer eller e-postadresser lagras i chattloggarna.

Fördjupning. Läs mer om it-säkerhet och cyberattacker
  • Tidigare rapportering. Försvarsministern: Vi ska kunna genomföra cyberattacker: Cyberattacker blir allt vanligare. Sverige ska därför både höja tröskeln mot sådana it-angrepp och bygga upp en helt ny, offensiv förmåga att genomföra egna attacker. Läs artikeln
  • Tidigare rapportering. Allvarlig sårbarhet på Bris hemsida: Organisationen Bris har stängt ned sin sajt efter DN:s avslöjande om allvarliga säkerhetsbrister. Känsliga uppgifter om barns privata frågor till Bris har legat öppna för hackare att läsa. Läs artikeln
  • Tidigare rapportering. Sverige alltmer sårbart för it-störningar: Hundratusentals svenskar drabbas av strömavbrott, når inte SOS Alarm eller får inte kontakt med myndigheter och banker. Sverige har blivit alltmer sårbart för tekniska haverier och it-attacker, enligt myndigheterna MSB och PTS. Läs artikeln
  • Analys. Linus Larsson: Dags att rusta för stabilare nät: Att all kommunikation blir internetkommunikation är positivt, men det skapar också ett beroende av ett enda, sårbart system. Läs analysen
  • Läs alla tidigare artiklar i DN:s granskning av det sårbara digitala samhället här
Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.