Monthly Archives: November 2014

Sundheden for en del af befolkningen sættes i dag på spil, fordi grænseværdierne for problematiske stoffer som phthalater, kviksølv og pesticider er for høje, advarer en række danske forskere. De kræver nu, at myndighederne sætter grænseværdierne ned over en bred kam.

Stadig mere forskning peger nemlig på, at udbredte genmuta­tioner gør dele af befolkningen mere sårbare over for stofferne end gennemsnittet, som grænseværdierne i dag er sat ud fra.

»Det ser ud til, at de grænseværdier, der findes, er alt for høje for denne betragtelige del af befolkningen. De regulerende myndigheder bør tage med i deres overvejelser, at genetik kan gøre visse mennesker langt mere sårbare for neurotoksicitet,« siger Philippe Grandjean, miljømediciner på SDU og professor på Harvard University i USA. Han har i mange år forsket i kviksølvs effekter på mennesker og fundet en sammenhæng mellem genvaria­tioner og alvorlige effekter af kviksølv, som skader på hjernen.

Philippe Grandjeans opfordring bakkes op af lektor og ph.d. i miljø­medicin ved SDU Helle Raun Andersen:

»Man bruger ofte en faktor 10 til at tage højde for forskelle på mennesker, men det er simpelthen ikke nok med den viden, vi har i dag.«

Generne spiller ind

Som Ingeniøren skrev i oktober, viser ny forskning fra Rigshospitalet, at folk med en genmutation, som omkring hver tiende dansker har, optager op til 33 procent større mængder af plastblødgørende phthalater, der mistænkes for at give blandt andet misdannede kønsdele hos børn.

Philippe Grandjeans studier har bl.a. vist, at børn med genmutation­er, der øger eksponeringen for kviksølv, tabte op til 25 intelligenspoint, hvor børn uden mutationer var næsten upåvirkede af samme påvirkning af kviksølv.

Og også pesticider er mere farlige for mennesker med genmutationer, fortæller Helle Raun Andersen. Hun har i en årrække undersøgt godt 200 børn af kvinder, der har arbejdet i gartnerier, og børn med en bestemt genmutation havde konsekvent større tendens til at udvikle negative effekter af pesticiderne end gartnerbørn med ‘normale’ gener. Blandt disse effekter er fedme, hjerte-karsygdomme og forhøjet blodtryk.

Der findes ikke et fuldt overblik over, hvor mange genmutationer der gør folk sårbare, hvor mange der har mutationerne, og hvor mange stoffer det drejer sig om. Derfor bør man handle ud fra forsigtighedsprincippet, mener Helle Raun Andersen

»Man kan ikke vente med at beskytte befolkningen, til vi får kortlagt gen/miljøinteraktioner mellem alle stoffer. Der er langtfra overblik over det her,« siger hun og understreger, at rigtig mange menneskers gener gør dem ekstra sårbare.

40 procent med mutationen

»40 procent af befolkningen har den mutation, der giver øget sårbarhed over for pesticider, og de er ikke ordentligt beskyttede. Så det er ikke små grupper mennesker,« siger hun.

Senest har Helle Raun Andersen fundet ud af, at den samme genmutation gør sig gældende for både sårbarhed over for kviksølv og pesticider. Hun vil nu se nærmere på sammenhængen for at blive klogere på mutationens indflydelse på effekten af flere stoffer.

Forskernes udmelding kommer ikke bag på Christel Schaldemose, der er medlem af Europa-Parlamentets miljøudvalg og næstformand for socialdemokraterne i EU. Hun er enig i, at grænseværdierne er for høje, og hun vil nu bringe kritikken til EU-Kommissionen.

»Jeg vil konkret tage fat i Europa-Kommissionen og foreholde den de nye informationer og udbede mig svar på, hvad de har tænkt sig at gøre, og hvornår de tager initiativ til at nedsætte grænseværdierne for, hvad vi som mennesker må udsættes for. Jeg er oprigtigt bekymret for vores børn og kommende genera­tioner, hvis vi ikke handler nu,« siger hun.

Amazons EC2 ligger på mere end én måde som en stor, metaforisk sky henover datacenterbranchen lige nu. Hvor de lokale udbydere af hosting tidligere mest var bekymrede for, at kunder skulle smutte over til naboen, så er det nu de store, globale cloud-udbydere, den primære konkurrence kommer fra.

Det fremgår af en undersøgelse, som datacenter-udbyderen Interxion har fået foretaget. I en tilsvarende undersøgelse i 2013 så blot 13 procent af hosting-udbyderne de store cloud-udbydere som deres værste konkurrenter. I år er det 37 procent.

Ifølge de nordiske tal fra undersøgelsen, så er de nordiske kunder lidt mindre begejstrede for at gå hele vejen i skyen, men til gengæld er de mere åbne for hybridmiljøer, hvor de selv har en del af infrastrukturdriften.

Infrastruktur som en service, IaaS, har med Amazon i spidsen ændret dramatisk ved hosting-markedet, hvor udbyderne derfor er nødt til at slå på nye parametre for at holde på kunderne.

»En af de vigtigste strategier, nordiske hosting-udbydere benytter for at modstå det internationale pres, er at tilbyde løsninger, der matcher kundernes stigende efterspørgsel på lokal placering af kritiske data og øget sikkerhed,« udtaler nordisk chef for Interxion, Peder Bank, ifølge en pressemeddelelse.

Derudover kan de lokale udbydere konkurrere ved eksempelvis at tilbyde lokal kundeservice.

Hackere har fundet svagheder i sikkerheden i NFC kommunikation. Det skriver BBC News.

Sikkerhedseksperter demonstrerede svaghederne ved en event i Tokyo kaldet Mobile Pwn2Own, hvor forskellige hold konkurrerede om at bryde ind i en række forskellige enheder uden at udnytte i forvejen kendte bugs.

Med en samlet præmiepulje på 425.000 dollars skulle deltagerne på under 30 minutter udføre et succesfuldt angreb på en mobil enhed.

I alt otte forskellige enheder var med i konkurrencen, blandt andet en Apple iPhone 5S, Blackberry Z30, Amazon Fire og Google Nexus 7.

På konkurrencens første af to dage havde fem hold allerede fundet og udnyttet svagheder, som de havde fundet på fem enheder. Tre af dem udnyttede NFC til at få adgang til og udtrække data efter ønske fra telefonerne.

De to sidste fik adgang via telefonernes onboard web-browser.

Apples iPhone 5S, Samsung Galaxy 5, LG Nexus 5 og Amazon Fire blev alle hacket, og detaljerne om, hvordan er nu blevet delt med udviklerne af telefonerne, så svaghederne kan fixes.

Den amerikanske regering advarede torsdag brugere af iPhones og iPads mod en svaghed, som hackere kan benytte til at stjæle data. Det skriver Reuters.

Advarslen omhandler hacks, som udnytter en nyligt identificeret teknik, kendt som ”Masque Attack” eller et maskeret angreb.

Hackerne, som udnytter et såkaldt maskeret angreb, kan potentielt stjæle loginoplysninger, adgangssensitive data lagret i iOS-enheder og fjern-overvåge aktiviteter på enhederne, udtaler den amerikanske stat.

Netværkssikkerhedsfirmaet, FireEye Inc afslørede sårbarheden bag “Masque Attack” tidligere på ugen, og de fortæller, at den er blevet udnyttet til at iværksætte en kampagne kalder ”WireLurker” –
eller tråd-lurer.

Sikkerhedsfirmaet udtaler samtidig, at flere angreb kan følge.

Angrebene kan undgås hvis iPad- og iPhonebrugere kun installerer apps fra Apple’s App Store eller fra deres egen organisationer, lyder det fra den amerikanske stat.

Brugere bør ikke hente og installere apps fra pop-ups, når de surfer på nettet.

Hvis iOS blinker og viser et skilt, som siger ”Untrustet App Developer”, så er det ifølge Reuters-artiklen og den amerikanske stat et tegn på, at man skal trykke på knappen ”Dont trust” og med det samme afinstallere appen.

Reuters har i forbindelse med deres artikel ikke kunnet få fat i en Apple-repræsentant.

Også DR’s mobilsite har indtil november i år automatisk fået medsendt brugeres telefonnummer, når de er surfet ind på domænet mobil.dr.dk fra en mobiltelefon med et TDC-abonnement.

Det er sket som følge af teleoperatørernes praksis med at indsætte nummeret i den såkaldte http-header, når datapakker har forladt mobiltelefonen med kurs mod specifikke domæner, som Version2 tidligere har beskrevet.

I forlængelse af omtalen stoppede teleselskaberne i starten af november 2014 med at medsende mobilnummeret.

Selvom en test, Version2 har foretaget, viser, at også mobil.dr.dk har fået medsendt telefonnumre indtil november i år, har DR efter eget udsagn ikke haft kendskab til dette. Som mulig forklaring henviser public service-virksomheden til en tidligere aftale med den store mobiltjenesteudbyder Unwire, der helt og senere delvist har drevet domænet mobil.dr.dk.

Unwire, der blandt andet har stået for sms-afstemningerne til realityprogrammet X Factor, er efter alt at dømme en af de relativt få virksomheder, som teleoperatørerne har beskrevet som betroede samarbejdspartnere, og som har fået mobilnumre medsendt via http-headeren i forbindelse med visse tjenester.

DR’s aftale med Unwire har dog ikke været gældende siden august 2013, oplyser centerchef for DR’s tekniske afdeling, TU Interaktiv, Hannah Kildahl. Da Version2 kontakter hende i første omgang, mener hun derfor heller ikke, DR har fået medsendt mobilnumre i http-headeren siden august 2013.

»Før august 2013 har DR muligvis fået medsendt brugerens mobilnummer i http-headeren, men hvis det skulle være sket, har DR ikke benyttet denne information til noget i mange år – om nogensinde,« skriver Hannah Kildahl i en mail.

Men Version2 har kunnet konstatere, at mobil.dr.dk frem til starten af november 2014 har fået medsendt mobilnumre i http-headeren, når domænet er blevet tilgået fra et TDC-mobilabonnement. Forelagt dette svarer Hannah Kildahl:

»Det er ikke teknisk muligt for DR at modtage mobilnummeret, medmindre brugerens egen browser eller teleudbyder har valgt at inkludere det i http-headeren. At TDC har medsendt mobilnummeret i nyere tid, er vi ikke vidende om. Det må være en praksis, de har genoptaget uden vores vidende, efter at vi forlod Unwire i august 2013. Det må være en sag mellem brugeren og teleudbyderen,« skriver Hannah Kildahl og fortsætter:

»Vi har selvsagt IKKE brugt informationen til noget.«

Mobil.dr.dk er langtfra det eneste domæne, der indtil november i år har fået medsendt mobilnumre, når Telia-, Telenor- eller TDC-kunder (inkl. eventuelle datterselskaber) har tilgået visse domæner fra en mobiltelefon. Mobilselskabet 3 har ikke i nyere tid medsendt mobilnumre i http-headeren.

Eksempelvis har en stribe domæner under JP/Politikens Hus også fået medsendt mobilnumre. It-direktør i JP/Politikens Hus Per Palmkvist Knudsen har tidligere over for Version2 stillet sig uforstående over for dette, ligesom han ikke har været bekendt med, at der skulle foreligge nogen aftale om, at mediekoncernen skal have mobilnumre medsendt i http-headeren.

Men hvorfor har DR og JP/Politikens Hus så fået mobilnumrene medsendt? Det relaterer sig med al sandsynlighed til WAP (Wireless Application Protocol). En dataprotokol, hvor mobilnummeret har gjort det muligt automatisk at overføre prisen for købet af en ringetone, en mobilbillet eller andet til telefonregningen. Også kaldet WAP-billing.

I en pressemeddelelse om, at mobiloperatørerne nu ville stoppe med at medsende mobilnumre, lød det fra direktør i branchesamarbejdet Teleindustrien Jakob Willer:

»Wap-tjenester bruges stort set ikke mere, og den teknologiske udvikling har medført, at dette setup er blevet forældet og uhensigtsmæssigt – blandt andet fordi mobiltjenester i dag hyppigst baseres på apps. De seneste dages debat har også vist, at det er muligt at få mobilnummeret overført til andre end tjenesteudbyderne. Dette har gjort nogle mobilkunder utrygge.«

Beslutningen om at droppe medsendelsen af nummeret var en korrekt handling, som professor ved Aalborg Universitet og ekspert i teleret Søren Sandfeld Jakobsen tidligere formulerede det over for Version2.

Professorens umiddelbare vurdering er nemlig, at det er i strid med persondataloven og udbudsbekendtgørelsen automatisk at medsende mobilnumre, hvis ikke der har været en konkret grund til det. Og i og med at WAP-tjenester med Teleindustriens egne ord ‘stort set ikke bruges mere’, er det også svært at få øje på den konkrete grund til automatisk at medsende mobilnummeret til et ukendt antal domæner.

Men selvom der i visse tilfælde skulle have været en grund, kan Hannah Kildahl ikke komme i tanke om den for DR’s vedkommende. Samarbejdet med Unwire handlede ifølge Hannah Kildahl om at registrere, hvilken telefontype der tilgår mobil.dr.dk, med henblik på at vise indhold, som telefonen teknisk understøtter.

»DR benyttede Unwire som gateway for at kunne håndtere device-detection (om folk skulle have vist et WAP-site eller et smartphone- site), men det var ikke mappet op på brugerens mobilnummer, men på den device-information, der lå i http-headeren,« skriver hun.

Ifølge Hannah Kildahls udsagn er det altså tvivlsomt, hvornår og om mobilnumre i http-headeren har været relevante i forhold til DR’s mobilsite. Tilbage står så spørgsmålet om, hvorfor i alverden numrene er blevet sendt til mobil.dr.dk frem til november 2014 via et TDC-abonnement.

Version2 har forsøgt at få TDC til at forholde sig til, at teleselskabet har indsat mobilnumrene i http-headeren på forespørgsler rettet fra en mobil dataforbindelse til mobil.dr.dk længe efter, at det lader til at have haft nogen relevans – hvis det da nogensinde har haft det.

»Vi er ved at undersøge denne her sag. Og så længe vi ikke er færdige med at undersøge den til bunds og få ryddet op i den, har vi altså ikke yderligere kommentarer,« lyder det kortfattede svar fra kommunikationsmedarbejder i TDC Rasmus Avnskjold, som henviser til TDC’s tidligere, generelle udtalelser i forhold til sagen med mobilnumrene.

Det har ikke været muligt at få en kommentar fra Unwire, der på et tidspunkt skulle have stået for mobil.dr.dk.

Hverken TDC eller Unwire kan altså umiddelbart hjælpe med at opklare, hvorfor blandt andet DR’s mobilsite har fået medsendt mobilnumre frem til november 2014 som følge af en teknologi, der stort set ikke bliver anvendt længere.

Glemte domæner og whitelisting?

En mulig forklaring kan være, at Unwire – der gennem årene har leveret WAP-løsninger til blandt andet flere medier og trafikselskaber – har fået adskillige domæner whitelistet hos teleoperatørerne med henblik på at kunne levere visse tjenester. Eksempelvis salg af indhold over mobilregningen.

Når mobiloperatørerne så har registreret, at en kunde har bevæget sig ind på et af domænerne på listen, er mobilnummeret automatisk blevet indsat i http-headeren.

Men efterhånden som WAP er blevet mindre udbredt, har hverken mobiloperatører, tjenesteudbydere eller domæneindehavere taget initiativ til, at listen med domæner skulle opdateres, så mobilnumrene ikke længere blev automatisk sendt med. Og derfor er praksissen fortsat i årevis.

Dette beror dog på et kvalificeret gæt, da hverken TDC eller Unwire har formået at besvare vores spørgsmål om, hvorfor DR’s mobilsite i alle årene frem til november 2014 har modtaget mobilnumrene.

DR’s forklaring om, at mobilnummeret umiddelbart ingen relevans har haft for mobil.dr.dk, kunne desuden tyde på, at de domæner, der er blevet whitelistet i teleoperatørernes bagvedliggende systemer, automatisk har fået indsat mobilnummeret i http-headeren – uanset om den information har været relevant eller ej i forhold til det konkrete brugsscenarie.

»Det er uheldigt«

Forklaringen, at en stribe domæner i sin tid er blevet whitelistet hos teleoperatørerne, uden at nogen løbende har forholdt sig til relevansen af listen, lyder sandsynlig, mener internetaktivist og datalog Christian Panton. Det var ham, der satte gang i den nuværende debat, da han testede sig frem til, at mobilnumre blev indsat i http-headeren, når visse domæner blev forsøgt tilgået fra en mobiltelefon.

»Det er uheldigt, at personoplysninger på den måde er flydt rundt på internettet – uden at kunderne har været bekendt med det,« skriver han i en mail.

Christian Panton kalder det en konsekvens af internettets natur, at numrene fortsat er tilgået visse domæner, selvom virksomheden bag driften af domænerne måtte have skiftet gennem årenes løb.

»Det er ærgerligt, at TDC og de andre selskaber aldrig har fulgt op på denne praksis. Det har været en ad hoc-løsning, og sådanne løsninger har en slem tendens til ikke at blive vedligeholdt.«

Umiddelbart vurderer Christian Panton dog ikke, at sagen om numrene kan bruges som generel indikation for datasikkerheden i telebranchen.

»Jeg tror ikke, at sagen siger meget om det generelle niveau, da der er væsentlig forskel på opmærksomheden på løsninger, der kigges på dagligt, og løsninger, der har ligget og samlet støv i hjørnet de sidste 5-10 år. På den anden side er min erfaring desværre ret dårlig, når man forsøger at rejse den slags spørgsmål hos teleselskaberne. Jeg har oplevelsen af, at der ikke er nogen, som sidder med ansvaret for privatlivsbeskyttelsen, og derfor er det utrolig svært for dem at håndtere henvendelserne.«

Erhvervsstyrelsen, der er den ansvarlige myndighed på teleområdet, har tidligere oplyst, at myndigheden er ved at undersøge sagen om den automatiske medsendelse af mobilnumre.

Kort før Iran og seks stormagter skal forsøge at lande en aftale om Irans atomprogram, har Iran underskrevet en aftale med den russiske atomkraftentreprenør Rosatom om at bygge to nye reaktorer på atomkraftværket Bushehr. Det fortæller Rosatom i en pressemeddelelse.

Ifølge BBC indeholder aftalen en option på at bygge to reaktorer yderligere på Bushehr, og fire andre reaktorer andre steder i landet. Der er tale om trykvandsreaktorer – men hvilken generation, der bliver tale om, fremgår ikke af aftaleteksten. Den ene reaktor, der i dag er i drift på Bushehr, er af typen VVER-1000/446.

Hidtil har Rusland leveret al brændsel til reaktorerne og taget den brugte brændsel tilbage. Ordningen har sikret, at Iran ikke brugte brændselsstavene i det atomvåbenprogram, landet beskyldes for at have. Men ifølge den nye aftale skal russerne og iranerne nu se på, om man kan producere brændselsstavene i Iran. Uranet til stavene skal ifølge New York Times dog stadig komme fra Rusland, og det brugte brændsel til alle otte reaktorer skal også fremover sendes tilbage til Rusland.

Byggeriet af de op til otte reaktorer vil ifølge Rusland komme til at foregå under overvågning af det Internationale Atomenergiagentur (IAEA) og samarbejdet vil ligge inden for det tilladte i den internationale ikke-sprednings-aftale om atomenergi.

Ifølge internationale eksperter kommer aftalen nu, fordi Rusland gerne vil skubbe til forhandlingerne om det iranske atomprogram.

»I (de øvrige fem lande i stormagtsgruppen, red.) må hellere være fleksible (i forhandlingerne,* red.*) ellers vil vi måske gøre Iran i stand til at klare sine egne brændselsbehov,« lyder udlægningen af teksten fra Cliff Kupchan, formand for risikoanalysefirmaet Eurasia Group over for LA Times. Samtidig vurderer han, at aftalen om de nye reaktorer skal give den iranske ledelse en gulerod, der skal få dem til at gå med på en aftale om atomprogrammet.

»Budskabet til Iran er: Vi ved, at I har brug at få forhandlingsresultatet til at se ud som en sejr, hvis I skal sige ja. Så her er en del af den fortælling.«

Deadlinen for at indgå en aftale er sat til 24. november.

Datatilsynets bevilling falder med 800.000 kroner fra 22,2 millioner kroner i dag til 21,4 millioner kroner i 2015. Det fremgår af finansloven, der i dag faldt på plads med stemmer fra regeringspartierne samt SF og Enhedslisten.

Kontorchef i Datatilsynet Lena Andersen havde ikke fået beskeden, da Version2 søgte en kommentar. Nedskæringen var forventet, lader hun forstå, men hun henviser til “politikerne” for yderligere forklaringer.

En af dem er Pernille Skipper, der er retsordfører for Enhedslisten. Partiet kom i maj 2014 med et offensivt it-udspil, der omfattede forslag om en data-minister, en it-havarikommission og 10 millioner i ekstrabevilling til Datatilsynet.

»Det er desværre ikke lykkes og det er rigtigt ærgerligt. Men selvom man ikke kan læse det ud af finansloven, holder vi fast ved et ønske om et stærkere Datatilsyn,« siger Pernille Skipper fra Enhedslisten.

Hun kalder nedskæringen “for en mindre teknisk budgetforringelse” og sætter sin lid til, at der kan indgås en aftale ved siden af finansloven som følge af et tværpolitisk arbejde, der lige nu er i gang i retsudvalget, herunder en høring om Datatilsynets arbejde.

»Der er ingen tvivl om, at alles øjne er stift rettet mod, at der skal tjek på tilsynet med vores data,« siger Socialdemokraternes it-ordfører Karin Gaardsted.

»Og jeg vil lige sige, at denne regering tidligere i 2012 og 2013 har hævet bevillingen til Datatilsynet. Det, vi gør nu, er en mindre besparelse,« siger hun og nævner, at stort set alle offentlige institutioner skal effektivisere.

»Jeg er sikker på at Datatilsynet formår at fastholde et sikkert tilsyn,« siger Gaardsted.

Finansloven lander dagen efter, at Rigsrevisionen har rettet kritik af otte myndigheder for utilstrækkelig sikkerhed i databehandlingen af borgernes oplysninger. Det drejer sig om Rigspolitiet, Skat, Forsvarskommandoen, Socialstyrelsen, Sundhedsstyrelsen, Arbejdsskadestyrelsen, Institut for Menneskerettigheder og Danmarks Statistik. Og i en høring i Retsudvalget sidst i oktober rettede Datatilsynets Lena Andersen selv kritik mod flere danske kommuner for ikke at have styr på deres databehandleraftaler.

Er dette tiden til at skære ned på Datatilsynet?

»Man kan ikke sige, at alle disse sager ligger i Datatilsynet, der jo kun skal føre stikprøvekontroller. Mange af sagerne afslører jo sjusk og sløseri. Det vil der næppe blive rettet op på af Datatilsynets stikprøver. Det kræver til gengæld et stærkere fokus på opgaven i alle ministerier, regioner og kommuner, hvor jeg er sikker på at alle sikkerhedsansvarlige i denne tid er at finde i det røde felt.«

Tiden hvor gamle sikkerhedshuller, der har eksisteret i mange år, dukker op til overfladen, er åbenbart ikke forbi.

Tidligere på efteråret kom nyheden om Shellshock-sårbarheden, der ramte Unix-lignende systemer frem. Den havde eksisteret siden 1989.

Nu har Microsoft i en større patch-operation lukket flere sikkerhedshuller i virksomhedens Windows og Office-software, hvoraf et af hullerne – også døbt WinShock – efter sigende har eksisteret i 19 år siden lanceringen af det hedengangne Windows 95. Det skriver engelske BBC.

Buggen har fået den kritiske karakter 9,3 ud af 10 på Common Vulnerability Scoring System (CVSS)-skalaen, som afgør alvoren af sikkerhedshuller i software. Opfordringen lyder derfor til alle Windows-brugere at opdatere styresystemet så hurtigt som muligt. Da sårbarheden også rammer Windows Servere, kan den potentielt sætte sikkerheden på systemer med fortrolige data over styr, hvis systemadministratorerne ikke opdaterer i tide.

Hackere kan udnytte sårbarheden til såkaldte “drive-by”-angreb, hvor man fjernstyrer ofrets computer og får den til at downloade malware.

WinShock-sårbarheden er af nogle blevet sammenlignet med den alvorlige Heartbleed-sårbarhed, der blev kendt i April i år og eksponerede over en halv mio. af internettets sikkerhedscertificerede webservere. Sammenligningen skyldes blandt andet, at begge sårbarheder udnytter en svaghed i SSL-teknologien, der ellers bruges til at transportere data sikkert over internettet.

Der er endnu ikke nogen, der har forsøgt at udnytte sårbarheden ifølge IBM, men efterfølgende angreb er sandsynlige skriver BBC – især på ældre Windows-maskiner, der ikke er blevet opdateret.

Medarbejdere hos IBM opdagede WinShock-sikkerhedshullet i maj tidligere i år, men holdt det hemmeligt, mens de samarbejdede med Microsoft om at lappe det.