Department of Corrections i Oklahoma, USA, har via sin sajt en söktjänst som låter medborgare kontrollera vilka personer i samhället som har kriminell historik. Databasen som tjänsten är kopplad till innehåller för närvarande uppgifter på drygt 10 000 dömda medborgare.

Man har dock slarvat med utformningen av det SQL-baserade systemet, vilket gjort att sajten fram tills nu varit helt öppen för missbruk av tekniskt kunniga besökare.

Med grundläggande kunskap om hur SQL fungerar har man nämligen kunnat ändra i sökvägen i sin webbläsares adressrad för att plocka fram fler personuppgifter än vad som ursprungligen var tänkt.

Ett utdrag ur en del av adressraden utgör exempel på hur en redigerad sökning kan se ut:


http://docapp8.doc.state.ok.us/pls/portal30/url/page/ sor_roster?sqlString=select distinct o.offender_id,doc_number,o.social_security_number, o.date_of_birth, o.first_name,o.middle_name,o.last_name, o.sir_name,sor_data.getCD(race) race,sor_data.getCD(sex) sex,l.address1 address,l.city,l.state stateid,l.zip,l.county,sor_data.getCD(l.state) state,l.country countryid,sor_data.getCD(l.country) country,decode(habitual,'Y','habitual','')[....]


Exemplet ovan användes framgångsrikt för att lista hela databasens innehåll, komplett med bland annat den amerikanska motsvarigheten till våra personnummer och fullständiga födelsedata. Uppgifter som egentligen ska vara dolda för obehöriga, inklusive sajtens besökare.

När detta säkerhetshål påpekades för myndigheten av Alex Papaclimoulis, som undersökt det hela i detalj, gjordes efter en kort tid en ändring av namnet på urvalet ” Social_security_number” till ” social_security_number”, det vill säga man ändrade från versal inledande bokstav till gemen motsvarighet.

Det visade sig vara det enda man gjorde. Papaclimoulis gjorde uppföljning, såg ändringen, modifierade sökningen och drog ut de drygt 10 000 uppgifterna på nytt.

En frustrerad Papaclimoulis kontaktade sedan myndigheterna ytterligare en gång, och förklarade hur problemet bestod i möjligheten att kunna plocka ut godtyckliga uppgifter och inte i namnkonventionen för en enskild tabell.

Efter detta har man arbetat vidare och en dag senare var säkerhetshålet tilltäppt. Samtidigt kvarstår frågan över hur många som hunnit komma över uppgifterna för kriminellt uppsåt. I synnerhet då det visar sig att hålet varit öppet under en period av över tre år.

Läs också om databastrojanen som angrep Tibetsajter

Källa: The Daily WTF