Agda är ett av Sveriges mest använda lönesystem och sköter varje månad utbetalningen till 400 000 personer. I dag släpper säkerhetsföretaget Bitsec information om en allvarlig säkerhetslucka som gör att en angripare kan både ändra i databasen och hämta ut information om löner, bonusar och förmåner.

Hålet upptäcktes av säkerhetsföretaget Bitsec redan i juli vid ett så kallat penetrationstest hos en kund. Förbluffade insåg företagets experter hur de genom att skicka speciellt utformad kod kunde läsa av känslig företagsinformation samt ändra fritt i tabellerna över hur mycket de anställda tjänar.

Bosse Eriksson, säkerhetskonsult på Bitsec, berättar att han kontaktade leverantören i somras, strax efter upptäckten. Men Agda och Bitsec hade olika uppfattningar om hur felet skulle hanteras.

Enligt Agda har både en akut säkerhetsfix och en fullständig uppdatering släppts under hösten.

– Vi har åtgärdat det och informerat våra kunder, säger David Sturk, vd på Agda.

Men på Bitsec är man mycket kritisk. Hanteringen har gått långsamt och under hemlighetsmakeri, heter det.

– Dialogen mellan oss och Agda har inte varit bra. Det har tagit lång tid att få svar, de har inte meddelat oss om patchar eller liknande. All information vi har fått har kommit från våra egna kunder. De verkar inte tycka om att vi letar upp hål och påpekar att de finns.

I dag lägger Bitsec ut en så kallad advisory med information om säkerhetsluckan.

David Sturk medger att åtgärden dröjde eftersom larmet kom mitt under semestern, men avfärdar kritiken.

– Det är inte som ett punkterat däck som man bara lagar direkt. Först måste vi ta reda på vad som har hänt och hur man åtgärdar det. Det gjorde vi snabbt och bra.

Men meningarna går isär om vilka kunder som drabbas av hålet. Säkerhetshålet finns i inloggningsformuläret till webbversionen av systemet, kallat Agda Entré. Företaget uppger sig ha fokuserat på att söka upp de kunder som har detta formulär tillgänglig mot internet, eftersom det gör att vem som helst med kunskap om databasen kan komma åt informationen.

Det räcker inte, anser Bosse Eriksson som säger att även interna system måste säkras upp.

– Det kan handla om insiders eller företag med en trådlös accesspunkt. Då är man rökt, det här är en ofantligt allvarlig sårbarhet, säger han.

I dokumentationen till uppdateringen från slutet av oktober , version 2008.2, skriver Agda att uppdateringen är kritisk och att alla användare bör uppgradera snarast. ”Det har emellertid inte varit möjligt att få ut någon känslig information ifall rekommenderade installationsanvisningar följts”, skriver företaget.