Utviklerne fant en alvorlig, men godt skjult sikkerhetssvikt i programvaren til varslerportalen Securedrop. Aftenpostens varslerportal her derfor fått ny adresse.
Aftenposten nyinstallerer varslerportalen Securedrop for å bedre sikkerheten. Portalen får ny adresse, som ble publisert lørdag 11. november. FOTO: TROND J. STRØM Foto: Trond J. Strøm
Securedrop brukes i mange redaksjoner verden over, og gir varslere en mulighet til å melde fra om kritikkverdige forhold uten at arbeidsgiver, kriminelle eller statlige aktører lett kan avsløre dem. Securedrop er bygget opp slik at varsler og redaksjon kan kommunisere slik at varsler etterlater seg minst mulig digitale spor.
Nylig oppdaget teknikere hos Freedom of the Press Foundation (FPF) en svakhet i systemet. En forenklet forklaring er at tre viktige pakker som brukes i varslerportalene kunne installeres uten verifisering. Dermed var det en teoretisk mulighet for at en tredjepart kunne ha erstattet disse pakkene med skadelig kode.
Det anslås som lite sannsynlig at redaksjoner har vært utsatt for dette. Kun statlige organisasjoner med utstrakt tilgang til nettet kan ha vært i stand til å gjøre et slikt angrep, og de måtte da ha hatt full oversikt over når den aktuelle redaksjonen skulle installere Securedrop. Aftenposten installerte Securedrop tidlig i 2016, men tjenesten ble ikke lansert før høsten samme år.
Det er ingenting som tyder på at andre aktører har oppdaget denne feilen før FPF selv gjorde det.
Freedom of the Press Foundation har likevel anbefalt at Securedrop reinstalleres, for å være på den sikre siden.
En bacheloroppgave levert av journaliststudenter viser at kun fire av 88 spurte norske pressefolk har god kunnskap om digitalt kildevern. Aftenposten er bevisst på problemstillingen, og jobber med sikkerhetskulturen.
Dette skjer blant annet gjennom et sikkerhetsforum for Schibsteds mediehus, som jobber aktivt med å lære opp medarbeidere og spre kunnskap ut i redaksjonene.
(Artikkelen er oppdatert til å refleketere at endringene nå er gjennomførte.)
