I sommer befant professor Arne Valberg ved Institutt for fysikk seg i Tyskland, og ville sjekke e-posten sin. Han hentet opp Webmail for NTNU-ansatte, skrev inn passordet - og fikk til sin store forskrekkelse opp hele innboksen til en ukjent kollega på Elkraftteknikk. Sin egen post fikk han ikke tak i.

- Skal ikke skje
Vel hjemme på Gløshaugen prøvde han igjen å lese e-post via Webmail. Nok en gang kom han inn i elkraftprofessorens postkasse. - Noe liknende skjedde meg i fjor også, bare at da fikk jeg posten til en annen person. Er systemet virkelig så sårbart, spør Valberg.

- Slike ting skal jo ikke skje, og vi har tatt dette veldig alvorlig, sier avdelingsingeniør Bjørn Ove Grøtan og overingeniør Sverre Stornes ved IT-seksjonen. De har de siste månedene fått meldinger om liknende hendelser, fra både studenter og ansatte.

Seksjonens ansatte har derfor i lange tider klikket og lett, klødd seg i hodet og strevd fælt. Ondets rot var ikke på noen måte lett å oppspore.

Men med god hjelp fra Stian Søiland fant de før helga ut av det.

Oppgradert Webmail
Problemet lå i håndteringen av sesjoner/innlogginger i både script-språket PHP og Webmail-applikasjonen. Svakheten lå utrolig nok i for lite tilfeldighet - som i dette tilfellet skal generere unike nøkler, for å identifisere sesjoner eller innlogginger.

IT-seksjonen forsikrer om at sikkerheten er bedret både rundt både Webmail og andre web-programmer som bruker PHPs innebygde funksjoner for sesjoner.

I helga ble også et oppgradert Webmail-system tatt i bruk, så nå håper alle at posten går sin rette gang, selv om vi kanskje må regne med uregelmessigheter i innkjøringsperioden.

- Vær forsiktig uansett!
Grøtan og Stornes understreker at alle som får problemer med e-posten, bør melde fra til Orakeltjenesten. - Oppgi hva som skjer, når og hvor det skjer, og hvilket operativsystem og nettleser du bruker, er IT-ingeniørenes oppfordring.

De minner samtidig om at vi aldri skal gå ut fra at internett-tjenester er bomsikre. - Uansett hvor bra systemene er og uansett hvor mye vi sikrer dem: Vær forsiktig med fortrolig informasjon og intime betroelser! sier Grøtan og Stornes.

Spesielt gjelder dette ved internett-kafeer og andre gjestedatamaskiner.

Av Lisa Olstad