Efter gentagne angreb: Bahne starter på en frisk med ny webshop-platform
Det har givetvis ikke været lutter lagekage at være ansvarlig for it-sikkerheden hos Bahne de seneste måneder, hvor virksomhedens webshop har været ramt af gentagne hackerangreb.
I forbindelse med angrebene er det lykkedes en eller flere ukendte aktører at skaffe sig adgang til Bahnes webbutik og installere ondsindet kode, der har haft til formål at stjæle betalingskort-oplysninger fra virksomhedens kunder.
Webshoppen på bahne.dk har været taget ned af Bahne siden starten af januar. Nu oplyser administrerende direktør i Bahne, Benjamin Røpke, at han forventer, det atter vil være muligt at handle online hos Bahne omkring 1. marts. Her er det meningen, en ny online-butik skal gå i luften.
»For at være helt sikker på, at der ikke er noget som helst, vi kan have overset, så rykker vi til en ny platform,« siger administrerende direktør i Bahne Benjamin Røpke.
Konkret er der tale om en ny version af den e-commerce-platformen Magento, som Bahne også tidligere har brugt.
Benjamin Røpke afviser i øvrigt, at systemet tidligere er blevet kompromitteret som følge af manglende vedligehold - eksempelvis i form af installation er kendte sikkerhedspatches.
»Nej, det er det ikke - det fremgår også af rapporten.«
Han henviser til en rapport, Bahne har fået udarbejdet af et sikkerhedsfirma, der har gennemgået hændelserne. Faktisk har Bahne konsulteret hele to sikkerhedsfirmaer på baggrund af angrebene.
Det er en rapport fra det ene firma, Benjamin Røpke henviser til.
»I den rapport vi har modtaget fra sikkerhedsfirmaet kan vi se at der muligvis har været en sårbarhed i PHP og at det er lykkedes hackerne at inject’e ondsindet kode i CMS-delen af Magento. Der nævnes ingen kendte sårbarheder i rapporten og den faktiske angrebsform er endnu ikke afklaret,« oplyser Benjamin Røpke i en mail.
Han forklarer, at det ikke fremgår direkte af rapporten, hvorvidt den mulige sårbarhed er i selve PHP, altså programmeringssproget, eller om sårbarheden er i Magento, som er skrevet i PHP. Benjamin Røpke fortæller, at der er flere forbehold i rapporten - som ordet ‘muligvis’.
Og da der derfor er en del ubekendte faktorer forbundet med angrebene, har virksomheden besluttet sig for at starte med en frisk og opdateret version af Magento.
November og januar
Tilbage i november 2018 blev Bahne ramt af et angreb, hvor en stadig ukendt aktør installerede ondsindet software i virksomhedens online-butik. Der var tale om et såkaldt skimmer-angreb, hvor ondsindet kode - det kan være indskudt javascript - opsnapper kunders betalingskort-oplysninger, som derved bliver kompromitterede.
Virksomhedens hjemmeside var i forbindelse med dette angreb inficeret af den ondsindede kode i flere uger.
Bahne oplyser, at det i forbindelse november-angreb har været muligt at få adgang til betalingsoplysningerne på 3.337 transaktioner. Efterfølgende blev berørte kunder opfordret til at spærre deres betalingskort.
November-angrebet resulterede i, at bahne.dk var nede i flere timer på udsalgsdagen Black Friday, mens virksomheden forsøgte at få styr på, hvad der var sket.
Bahne.dk kom op igen, men omkring 1. januar var der atter problemer, hvor online-butikken igen blev ramt af et skimmer-angreb. Denne gang var sitet kompromitteret i relativt få dage - sammenlignet med november-angrebet - før online-butikken blev taget ned af virksomheden.
I forbindelse med dette angreb var der tale om, at uvedkommende kan have fået adgang til 473 korttransaktioner.
»Vi har telefonisk kontaktet dem der har været berørt af den seneste kompromittering, og givet dem vores uforbeholdne undskyldning,« oplyser Benjamin Røpke i en mail.
Samme hul?
En nærliggende tanke er, at aktøren bag angrebet i november har benyttet det samme sikkerhedshul til at komme ind i systemerne igen omkring slut december/starten af januar.
Hvorvidt det er tilfældet, er imidlertid uvist.
»Det kan teknikerne endnu ikke svare på med sikkerhed. Det vi kan sige med sikkerhed, er at hackerne udelukkende har haft adgang til 'frontend'-delen af platformen. Hackerne har ikke haft serveradgang (backend) og der er ikke spor efter eksfiltrering af data,« oplyser Benjamin Røpke via mail.
Hvis ikke der er tale om det samme sikkerhedshul kunne en anden tanke være, at aktøren bag angrebet i november er kommet ind via et sikkerhedshul, hvorfor denne adgang er blevet benyttet til at skabe en ny og måske mere persistent adgang for angriberen. En adgang som aktøren så har kunnet benytte sig af i forbindelse med det andet angreb, der startede omkring slutningen af december og blev lukket ned i starten af januar.
»Sikkerhedsfirmaet har ikke fundet spor efter hverken root/serveradgange, webshells eller lignende bagdøre i systemet, der kunne give hackerne adgang til igen at kompromittere sitet. I rapporten konkluderes det, at sikkerhedsfirmaet ikke er lykkedes med at kompromittere systemet,« oplyser Benjamin Røpke via mail med henvisning til, at sikkerhedsfirmaet har forsøgt at gøre den ondsindede aktør kunsten efter i forhold til at kompromittere sitet.
Men altså uden held.
Hvad aktøren angår, så har Bahne ikke noget bud på, hvem der står bag angrebene. Og i den forbindelse ved virksomheden heller ikke, om det overhovedet er samme aktør.
»Det kan vi ikke svare på. Den del har vi overdraget til Politiet og Interpol, som undersøger det,« oplyser Benjamin Røpke via mail.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.