Cyberangreb mod Tivoli: Bagmænd fik adgang til gæsters personoplysninger
Et it-angreb mod Tivoli i København i starten af august førte til, at hundredvis af Tivoli-gæster fik kompromitteret deres konti på forlystelsesparkens platform ved navn Mit Tivoli. Det bekræfter Tivolis direktør for it- og forretningsudvikling, Jonas Buhl Gregersen, overfor Version2.
It-direktøren vil ikke sætte tal på, hvor mange gæster der præcist har fået kompromitteret deres konto, men han peger på, at det er under en procent af det samlede antal af Mit Tivoli-profiler, der er blevet ramt.
»Det er pænt under tusind mennesker, der er blevet af ramt af der her, men jeg kan ikke komme det nærmere,« siger Jonas Buhl Gregersen.
Med Mit Tivoli kan gæsten få adgang til produkter og årskort fra Tivoli via tivoli.dk eller Tivolis app. Gæster kan bruge Mit Tivoli til at få adgang til forlystelsesparken med deres digitale Tivolikort og til at få overblik over tidligere køb. Samtidig giver platformen adgang til forlystelsesparkens fordelsprogram, Tivoli Lux. Kilde: TivoliMit Tivoli
Navne, adresser og dele af kreditkort
Gerningsmændene fik adgang til en række oplysninger på gæsternes profiler på Mit Tivoli. Det gælder blandt andet navne, adresser, telefonnumre, mailadresser, fødselsdato og information om gæsternes tidligere køb af Tivolis produkter, såsom årskort eller entrebilletter.
Derudover har nogle af de kompromitterede konti har haft et kreditkort tilknyttet. På trods af det har det ifølge it-direktøren ikke været muligt for de it-kriminelle bag angrebet at købe eksempelvis turpas eller årskort på gæsternes regning.
Det skyldes, at Tivolis systemer kræver, at brugerne skal indtaste kontrolcifrene fra det det gemte kreditkort, før de kan købe produkter på platformen uanset beløbets størrelse, påpeger Jonas Buhl Gregersen.
»Omkring 15 procent af de kompromitterede brugere har haft et betalingskort gemt på deres profil. Vi har selvfølgelig tjekket alle sammen igennem, og der er ikke blevet fortaget et eneste køb på de kort,« siger han.
Han tilføjer, at det desuden er såkaldt maskerede data, der har ligget på de gemte kreditkort, hvilket betyder, at gerningsmændene kun fik adgang til brudstykker af kortnumrene. De tilknyttede kort bliver ikke gemt hos Tivoli selv, men derimod hos forlystelsesparkens såkaldte betalingsindløser.
Usædvanligt mange loggede pludselig ind
Tivoli opdagede angrebet fredag den 2. august, og ifølge havens it-direktør skyldes det primært to ting.
»Først og fremmest bliver vi opmærksomme på, at der er væsentlig flere logins på Mit Tivoli, end der plejer være. Jeg har ikke tallet for, hvor mange logins der var i forbindelse med hændelsen, og det ønsker vi heller ikke at oplyse, men jeg kan sige, at grafen for logins var unormalt høj,« siger Jonas Buhl Gregersen.
Den anden ting, der får vakt mistanke om et angreb er, at en gæst kontakter forlystelsesparken den periode, hvor man oplever det høje login-tal. Gæsten har fået en automatisk mail fra Tivoli om, at der er blevet logget ind på personens Mit Tivoli-profil fra en ny enhed, men det har gæsten ikke selv gjort.
»Derefter lukker vi ned for hele platformen Mit Tivoli. Vi lukker både for, at der kan logges ind med eksisterende brugere, og vi lukker også ned for, at man kan oprette nye brugere. Den følgende mandag åbner vi op igen sidst på dagen,« siger Jonas Buhl Gregersen, som også pointerer, at hændelsen efterfølgende blev meldt til både politiet og Datatilsynet.
Bagmænd brugte »pwnede« adresser
I kølvandet på angrebet har Tivoli lavet en undersøgelse af, hvad er skete den fredag i august, og ifølge Jonas Buhl Gregersen var der ikke tale om et klassisk brute force angreb.
Det skyldes, at der var ganske få forsøg på at logge ind med hver mailadresse, og derudover var det ganske få af disse forsøg, der fejlede. It-direktøren påpeger, at der maksimalt var tre logins med den samme mailadresse og maksimalt to af dem var med forkert password. Hvis det havde været et brute force-angreb, så havde bagmændene prøvet at logge ind med de samme mailadresser i lang tid med rigtig mange forsøg, pointerer han.
Efter undersøgelserne konkluderer Jonas Buhl Gregersen, at de it-kriminelle kun har benyttet sig af mails og koder, der i forvejen var blevet lækket fra andre tjenester end Tivoli.
»Vi har efterfølgende lavet en stikprøvekontrol på omkring 10 procent af de kompromitterede mailadresser. Her fandt vi ud af, at de alle sammen kunne findes på listen over lækkede adresser på tjenesten haveibeenpwnd. Det tyder derfor på, at det er nogen, anvender samme brugernavn og password til flere tjenester på nettet,« siger han.
De pågældende kunder blev orienteret om sagen den 3. august.
Han tilføjer, at det næsten udelukkende er ’.dk’-mailadresser, der er blevet forsøgt at logge ind med, og at det dermed også umiddelbart kun er ’.dk’-adresser, der er blevet kompromitteret.
Intelligent udført angreb
Jonas Buhl Gregersen hæfter sig ved, at angrebet mod Mit Tivoli var »relativt intelligent udført«. Eksempelvis skiftede hackerne løbende IP-adresser, og de prøvede ikke at bruge den samme mailadresse flere gange i træk.
Tivoli har ikke noget indtryk af, hvem der har stået bag angrebet, og det er også uvist, hvad motivet har været.
»Jeg ved ikke, hvorfor det lige præcis er os, der bliver ramt her. Jeg kan ikke se, at der er nogen god forklaring. De har måske bare været nysgerrige i forhold til, hvad der kunne lade sig gøre. Der har ikke været lignende hændelser hverken før eller efter,« siger Jonas Buhl Gregersen.
Efter hændelsen har Tivoli strammet op på rutinerne i forhold til at overvåge besøgstrafikken på Mit Tivoli, og så har man lukket de IP-adresser, der blev brugt under angrebet. Derudover er Tivoli gået i dialog med konsulenthuset Deloitte om, hvordan man kan styrke sikkerheden på platformen.
»Jeg mener bestemt, at sikkerheden på vores site er i orden, men det er jo en mærkelig verden vi befinder os i, hvor det er et konstant kapløb med at holde os foran hackerne. Der er jo ikke garanti for, at der ikke sker noget i morgen, og det er jo frustrerende,« siger Jonas Buhl Gregersen og tilføjer.
»Vi har overvejet, om vi skal være endnu tydeligere i vores kommunikation om, at gæsterne skal huske at bruge unikke kodeord. Men vi ved også, at folk ofte gør, som de plejer.«
Efter angrebet den 2. august har Tivoli undersøgt om andre systemer, såsom spil-tjenesten Tivoli Casino, også har været udsat for angreb, men ifølge it-direktøren er det ikke tilfældet.
Ingen to-faktor-autentifikation
Mit Tivoli kører uden det, der kaldes to-faktor-autentifikaton. Hvis der havde været implementeret to-faktor-autentifkation på Mit Tivoli, ville angriberen selv med kendskab til brugernavn og kodeord ikke bare kunne logge ind.
Som flere Version2-læsere vil vide indebærer to-faktor-autentifikation, at der kræves noget udover et brugernavn og en adgangskode for at logge på en løsning. NemID er et eksempel på en løsning med to-faktor-autentifikation. Her skal en angriber udover brugernavn og adgangskode i udgangspunktet også skal have fat i en telefon med en app eller engangskoderne på et papkort eller for at kunne kompromittere en konto.
Hvorfor havde I ikke to-faktor-autentifikation på Mit Tivoli?
»Det ville man også kunne have gjort, og vi tilbyder det indirekte via facebook-login, men det er altid en afvejning i forhold til omkostninger, brugervenlighed og karakteren af de informationer, der er tilgængelige på tjenesten,« siger Jonas Buhl Gregersen.
Han erkender, at to-faktor-autentifikation er en relativt billig sikkerhedsløsning at implementere, og at man i det her tilfælde ville kunne have forhindret adgangen til brugernes konti med to-faktor-autentifikation. Han mener dog, at Tivolis gæster ikke vil acceptere besværligheden i at bruge sådan en løsning.
»Vores brugerskare rummer mennesker i alle aldre og alle it-kompetenceniveauer, og det gør det jo til tider svært at lave nye løsninger, som alle er trygge ved at bruge. Hver gang vi gør det, så har vi gæster i røret, der spørger, hvorfor det skal være så besværligt. Så vi forsøger at balancere brugernes behov og brugernes behov for sikkerhed.«
Men tror du ikke, at de ville være villige til det, hvis de dermed kunne undgå et sikkerhedsbrud?
»Hvis man bliver spurgt, så ville gæsterne nok sige ja, men når man så står i situationen, så synes de, at det vil være rigtig træls. Det teoretisk rigtige svar angående sikkerhed er også, at man ikke genbruger sine passwords på tværs af tjenester, men i praksis er det bare noget man gør,« siger han og tilføjer:
»Jeg er dog enig i, at det skal vurderes som en løsning blandt andre, og vi skal have fundet ud af, hvad der er den rigtige løsning for os. Er det at lave to-faktor-autentifikation, er det meget besværlige passwords eller er det noget helt tredje. Lige nu er der ikke taget nogen beslutning om at implementere to-faktor-autentifikation.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
