Modelfoto
Forsikringsgiganten Tryg bruger forældede krypteringsstandarder på deres servere, og det gør dem sårbare for angreb, vurderer en netværksekspert. Tryg selv udtaler at risikoen er lille og derfor kalkuleret.
På Trygs servere finder man bl.a. den gamle krypteringsstandard SSL 3, som er forældet og efterlader værtsmaskinen sårbar.
– De krypterings teknologier som Tryg anvender er sårbare overfor angreb. Når det kommer til HTTPS/SSL, så er det nærmest, det samme som at sige: “Vi bruger en hængelås på vores website”. Men den hængelås kan være en billig lås fra et marked i Kina, eller en super duper lås som er godkendt af diverse organisationer, lyder det fra Stefan Milo, netværkskonsulent hos it-firmaet Zen Data.
Hos Tryg afviser sikkerhedschefen, Tom Engly, at det skulle være et stort problem. Han forklarer, at når det kommer til sikkerhed, så handler det om at prioritere.
– Vi kendte allerede til dette problem via vores egne penetrationstests, men vi har vurderet, at risikoen er ekstrem lav. Vi prioriterer vores indsats, det gør alle i sikkerhedsbranchen, fortæller han til localeyes.dk
Screenshot som viser at Tryg bruger de gamle og usikre standarder.
Netværkskonsulent Stefan Milo medgiver Tom Engly fra Tryg, at risikoen er lav.
– Ja risikoen er lav, det vil kræve et man-in-the-middle-attack, altså et angreb, hvor der sidder en person og opsnapper din trafik, men det er også muligt. Det er useriøst og et dårligt signal, at en gigant som Tryg ikke ordner dette. Det burde ikke tage lang tid, siger Stefan Milo fra Zen Data.
Sikkerhedschefen hos Tryg forklarer, at hullet ikke er lukket på grund af nogle systemmæssige afhængigheder. Tom Engly kan ikke love, hvornår de gamle krypteringsstandarder er fjernet fra Trygs servere, men der bliver arbejdet på det, og det vil formentlig ske indenfor et par uger.
Vi spurgte sikkerhedschefen, om brugerne kan være trygge ved, at deres personlige oplysninger er sikre hos Tryg.
– Svaret er ja. Jeg er selv kunde hos Tryg og helt tryg ved dette, afslutter sikkerhedschefen.
