DTU’s mailserver hacket: Reagerede først på ‘usædvanlige alarmer’ efter 4 dage

8. september kl. 03:384
dtu
Illustration: News Øresund / Wikimedia Commons.
Det lød ellers oprindeligt, at ‘intet var kompromitteret, og ingen data var tabt’. En afrapportering til Datatilsynet fortæller en anden historie.  

Et ukendt antal DTU-medarbejderes email-konti er blevet kompromitteret af ondsindede hackere. Sådan lyder det i en anmeldelse til Datatilsynet, Version2 har fået indsigt i, og konkret er der blevet logget ind med legitime credentials. Det står i skærende kontrast til DTU’s tidligere udmeldinger om angrebet til blandt andre Ritzau: 

»Det er ikke et omfattende angreb. Vi vurderer ikke, at der har været tab af data, eller at der er nogen ting, der er blevet kompromitteret,« lød det fra universitetsdirektør Claus Nielsen 23. august. 

Anmeldelsen til Datatilsynet afslører også, at der går fire dage fra de første digitale alarmer bimler til DTU klassificerer de mærkelige hændelser som et angreb. Det har givet angriberne ekstra tid til at rode rundt i systemerne og slette eventuelle spor. 

»De holder sig ikke til sandheden«

Version2 har foreholdt DTU’s foreløbige rapport til Datatilsynet for David Theil-Clayton, der før har ledet incident response-teams og har skrevet undervisningsmateriale til et forløb om netop incident response på Aarhus Business Academy. Et forløb, han også er censor på.

Artiklen fortsætter efter annoncen

»De holder sig ikke til sandheden. Mailserven blev tilgået, og hackerne kunne logge ind med credentials fra flere brugere og logge ind i deres mailbokse. Det er det modsatte af det, de har meldt ud,« siger David Theil-Clayton, der før har set hackere gå bevidst efter mailservere. 

»Normalt er man som angriber interesseret i at bruge mailserveren og adressebogen til at distribuere malware internt. Der er næsten ikke nogen bedre måde at komme ud i organisationen,« lyder det fra it-sikkerhedsmanden. 

Fire dage fra alarm til handling

En anden ting, han hæfter sig ved, er de fire dage, der ifølge afrapporteringen til Datatilsynet går fra cyberalarmerne begynder at lyde, til DTU kategoriserer de mærkelige hændelser som et hack. 

Usædvanlige alarmer

Angrebet blev synligt som driftsforstyrrelser og usædvanlig trafik d. 11 august (formiddag). Vores indbyggede overvågningssystemer gav usædvanlige alarmer. 

Dato for hændelsens kostatering: 15-08-2022 11:38:00

Kilde: DTU's afrapportering til Datatilsynet

»Selv hvis du kun har en mistanke, skal du rapportere det. Vidste de virkelig først, der var noget galt den 15 august? Hvad er det, der sker her i mellemtiden? Hvis alarmerne er gået kl 11, virker det fuldstændig usandsynligt, at man først ser dem mandag. Der er noget der bare ikke giver mening,« siger David Theil-Clayton, der vurderer, at de fleste virksomheder ville kategorisere mailindbakken som et kritisk system - idet de ofte indeholder en eller anden form for persondata. 

»Enten har man kapaciteten til med sikkerhed at sikre, at et kritisk system ikke er blevet kompromitteret og så reagerer man på alarmer inden for få timer eller også aner man ikke om ens data bliver kompromitteret med det samme og venter fire dage, før man har kapacitet til at kigge på alarmerne,« vurderer David Theil-Clayton, der undrer sig over at DTU dels var fire dage om at reagere på alarmerne, men samtidig føler sig sikre i deres vurdering af, at angriberne ikke slap afsted med data eller i øvrigt opnåede noget med hacket. 

Kom ind gennem ‘studentersystem’

DTU skriver også til Datatilsynet, at det var ‘et studentersystem’, der var organisationens svageste punkt:

»Via et studentersystem fik hackere adgang til servere på DTU, hvorfra de ved hjælp af specialsoftware fik tildelt forøgede rettigheder til sig selv. Det er hovedsageligt tekniske systemer og tekniske data, der der er i forløbet identificeret kontakt til DTU’s mailserver,« skriver universitet til Datatilsynet. 

Præcis hvilken specialsoftware der er tale om fremgår ikke, ligesom det heller ikke angives hvilke tekniske data, angriberne var interesserede i. 

Anmeldelsen beskriver også, at angrebet bestod af DDoS-angreb, 'cyberangreb' samt fysiske angreb. Det fremgår ikke, hvad de sidste to kategorier dækker over.

Uvist omfang

Præcis hvor mange DTU-mail, der er kompromitteret, fremgår heller ikke, men DTU skriver selv til Datatilsynet, at der er tale om ‘et mindre antal’. 

»Det er værd at bemærke, at de skriver, der har været adgang til mailserveren. Dermed virker det ret svært at garantere, at der ikke har været adgang til persondata,« siger David Theil-Clayton, der henviser til DTU’s forsikring om, at ingen persondata er kompromitteret som følge af hacket. 

DTU har da også bedt omkring 25.000 brugere af universitets systemer om at skifte deres adgangskoder. 

»Når man ser på det, de skriver til Datatilsynet, virker det som om, de fortæller én historie til myndigheden og en anden historie til offentligheden. Det kan dog skyldes, at det er to forskellige hold af medarbejdere - dem der arbejder med hændelsen og melder ind til datatilsynet og dem, der går ud og fortæller offentligheden om det,« siger David Theil-Clayton, der understreger, at der ikke nødvendigvis er tale om ond tro fra DTU’s side. 

DTU er ikke vendt tilbage inden redaktionens deadline. Vi følger op, når der er nyt. 

 

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
8. september kl. 22:14

Den her historie kunne Version2 godt have udsat til DTU havde vendt tilbage.

Altså jeg læser det ikke som, at der kom en alarm, som skreg hackerangreb.

3
8. september kl. 11:50

I artiklen udtales:

"Selv hvis du kun har en mistanke, skal du rapportere det"

Er det nu helt sandt?

Nedenstående er klippet fra Datatilsynets vejledning "Håndtering af brud på persondatasikkerheden"

*"Bekendt med, at der er sket et brud

*Den dataansvarliges forpligtelse til at foretage anmeldelse af et brud på persondatasikkerheden til Datatilsynet aktiveres først, når den dataansvarlige er blevet bekendt med, at der er sket et brud på persondatasikkerheden. **Alene formodningen om, at et brud på persondatasikkerheden har fundet sted, vil i den forbindelse ikke være tilstrækkeligt til at anse et brud på persondatasikkerheden for at være ”sket”. **

"En sådan formodning bør dog føre til, at den dataansvarlige undersøger sagen nærmere med henblik på at afklare, om der rent faktisk er sket et brud på persondatasikkerheden, ligesom det kan være en anledning til at overveje sikkerheden omkring behandlingen af personoplysninger"

2
8. september kl. 07:30

Sorry, jeg ved ikke, hvorfor den kom ind to gange - jeg har kun trykket én gang.

1
8. september kl. 07:30

Det er svært at få hoved og hale i historien. Hvad betyder f. eks. dette?"Det er hovedsageligt tekniske systemer og tekniske data, der der er i forløbet identificeret kontakt til DTU’s mailserver,«"

Men det lyder grimt. "Hovedsageligt"? Det betyder vel, at det ikke kun er tekniske systemer og data? Og har man overhovedet fået styr på, hvad der er foregået? For mig lyder det ikke sådan - det lyder som beskeder, som dækker over et kaos, som ingen helt ved, hvad indebærer.

DTU arbejder - så vidt jeg ved - med følsomme sundhedsdata til forskning. Kan man garantere, at disse ikke er blevet kompromitterede? Og har man givet de berørte datagrise besked?

Og hvorfor lyver man for offentligheden om det?