Efter hackerangreb og milliontab: BIPS lukker bankboks-tjeneste

Illustration: Virrage Images/Bigstock
Danske BIPS fik stjålet 5,5 millioner kroner i bitcoins og vil nu ikke længere fungere som bankboks for kunderne. Vi kan ikke garantere for sikkerheden længere, siger direktøren.

Det har været fem hektiske dage for BIPS, siden den danske bitcoin-handelsplads blev ramt af et hackerangreb, hvor bitcoins for over 5,5 millioner kroner blev stjålet. Kris Henriksen, stifter og direktør for BIPS, har været vågen det meste af de fem døgn, siden han blev vækket af bimlende alarmer fra overvågningssystemerne.

»Jeg vågnede af alarmerne og kunne se, at ingen af systemerne kørte længere. Jeg loggede ind og kunne se, at alle data var blevet slettet. Så tænker man ’fuck’. Hackeren slettede det hele - det var jo rigtig flinkt gjort - så jeg har haft en maskine kørende i fire dage for at genskabe serverlogs,« fortæller Kris Henriksen til Version2.

Læs også: Dansk bitcoin-handelsplads hacket - over 5,5 millioner kroner stjålet

BIPS driver en betalingsgateway for bitcoins og en gratis digital wallet-tjeneste, altså en tegnebog på nettet, hvor man kan opbevare sine bitcoins. Det var denne digitale bankboks, som hackeren fik røvet for 5,5 millioner kroner.

»Mange af de stjålne bitcoins var nogle, som vi havde stående. De ventede på, at nogen købte dem. Men der er også en stor del, som er kundernes bitcoins,« siger Kris Henriksen.

Ikke høj nok sikkerhed

BIPS blev først ramt af flere voldsomme DDoS-angreb, og BIPS-direktøren har efter flere dages detektivarbejde en klar teori om, hvad der er sket. Overbelastningen fra DDoS-angrebet var en måde at slå hul på forsvarsværkerne på.

»Jeg har en overbevisning om, at hackeren overbelastede vores switche, som er forbindelsen til SAN’et. Det vil sige, at serverne gik ned, fordi de ikke længere havde adgang til dataene,« forklarer Kris Henriksen.

Har jeres sikkerhed været høj nok, set i bakspejlet?

»Jeg har baseret det på mine 15 års erfaring med it og sikkerhed, og sikkerheden har været en af de bedste i forhold til andre online wallets. Men den har jo stadig ikke været god nok,« siger Kris Henriksen.

Af samme grund lukker BIPS nu tjenesten med digitale tegnebøger helt ned. Alle kunder er blevet bedt om at trække deres bitcoins ud.

»BIPS skal ikke have wallet hosting længere, for jeg kan ikke garantere for sikkerheden. Jeg troede, det var sikkert nok, men det var det jo ikke,« siger Kris Henriksen.

Kan spore men ikke spærre bitcoins

Rent juridisk har BIPS fra starten ikke taget noget ansvar for kundernes bitcoin-beholdninger, så der er ikke tale om erstatningsansvar.

»Vi har beskrevet i vores terms of service, at vi ikke er liable ved tab, i henhold til hvor usikker online wallet hosting er. Men jeg vil gøre mit bedste for at finde ud af, hvem der trængte ind i systemet,« siger Kris Henriksen.

Selvom man godt kan spore bitcoins, kan man ikke melde dem stjålet, så de 5,5 millioner kroner er med høj sandsynlighed tabt. Så kampen handler nu om at finde frem til dem, der gjorde det.

»Jeg skal også arbejde på at genskabe serverlogs i dag, og så vil jeg prøve at bestemme nærmere, hvor hackeren gjorde det fra. Vi laver en politianmeldelse, men mange af vores kunder er jo anonyme, så vi har lavet et system, hvor de kan gå ind og underskrive et dokument med deres claims, som vi så bruger til politirapporten,« siger Kris Henriksen.

Kunne det i teorien ikke bare være dig selv, som havde taget disse bitcoins?

»Jo, det kunne det meget nemt. Men jeg har forsøgt at være en offentlig person siden 2010, og jeg prøver ikke at gemme mig for nogen. Jeg tager på arbejde hver dag og jeg løber ikke nogen vegne. Det må være en god indikation på, at jeg ikke har taget dem,« siger han.

BIPS kører videre med den anden del af forretningen, nemlig en betalingsgateway for bitcoins, som for eksempel bliver brugt af en bar i København, hvor man kan købe sine drikkevarer med bitcoins. Disse systemer var ikke ramt af hackerangrebet, fortæller Kris Henriksen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kasper Jensen

Kris har stukket pengene i lommen, det kan ikke have været andet end målet fra starten af.

Det er ikke første gang han lukker et site og tager folks penge, læs blot på fora rundt omkring.

Og helt ærligt - »Jeg har en overbevisning om, at hackeren overbelastede vores switce, som er forbindelsen til SAN’et. Det vil sige, at serverne gik ned, fordi de ikke længere havde adgang til dataene,« - really, Kris? Du driver en forretning med 5.5 mio. kroner i din egen bankbog, og så tror du at du kan slippe afsted med en historie om en "overbelastet switch" som gør at hackere formår at tømme hele bankbogen?

Jeg har en meget stærk formodning om at der allerede nu er folk/kredse efter Kris for enten at få de penge han har taget fra dem, eller for at brække begge hans ben.

Henrik Pedersen

Jeg kender ikke noget til Kris. Men følgende citat kunne man godt friste til at sige var en smule hoverende:

Jo, det kunne det meget nemt. Men jeg har forsøgt at være en offentlig person siden 2010, og jeg prøver ikke at gemme mig for nogen. Jeg tager på arbejde hver dag og jeg løber ikke nogen vegne. Det må være en god indikation på, at jeg ikke har taget dem,

Man kunne måske gå så vidt som at mene at han siger følgende "Haha, jeg er så god at jeg kan sige sandheden og stadig slippe af sted med det".

Dog skal det huskes at der ikke er beviser for noget af ovenstående, det er blot sådan at teksten kan læses. Og der ud over tror jeg heller ikke på historien om en "overbelastet switch" som "slår hul i sikkerheden".
IT Sikkerhed er ikke en mur som man kan slå ned ved at køre en rambuk igennem den, og så bagefter vade hen over murbrokkerne.

s_ mejlhede

Lige meget hvad man har skreven i sine betingelser, så gælder Dansk lov, købelov og Kreditkort lov.

Så med købeloven/kredit loven og hvis man har betalt med
Visa/Dankort skal man gøre krav gældene, og nægte betaling/bede om at få ført pengene tilbage.
Hvis det er betalt med Bankoverførelse er det mere problematisk, men en politianmeldelse er vel en god start.

Hvis han håndtere penge, så er det jo bankvirksomhed eller vekselerer virksomhed han driver, og skal have en tilladelse til det, og overholde reglerne for dette.

Hvis det ikke er det, så har kunderene en konto med deres indbetalt penge i danske kr , og vare som er bitcoin skal de jo ikke stå indefor. De har jo ikke fået/købt den betalt leveret vare.

Hvis han har "tage af kassen" selv, så skal han nok passe på da, Bitcoin også bruges af mere lysesky grupper, som han vel også har blandt sine kunder, de har andre måder at indkassere deres tilgodehavende ind den Danske inkasso model.

Benjamin Krogh

»Jeg har baseret det på mine 15 års erfaring med it og sikkerhed, og sikkerheden har været en af de bedste i forhold til andre online wallets. Men den har jo stadig ikke været god nok,« siger Kris Henriksen.

Hvilke andre steder har du haft med at gøre de 15 år, og har du sagt til dem at du er en lallende amatør? Hvis et (D)DOS, dvs. et af de almindeligste og hyppigst forekommende angreb, resulterer i adgang til værdier for +5 millioner kr, så har man udvist ansvarspådragende adfærd. Uanset hvad din TOS siger.

Som site owner har man et ansvar, og skylder sine brugere rettidig omhu med deres data. Een ting herunder er at sende et retvisende signal om hvilket ansvar man har, og hvordan de skal forholde sig til ens service.

At skrive ting som "Your data is secure at BIPS" [1], sender ikke et billede af at servicen leveres uden nogen garantier overhovedet.

[1] http://mashable.com/2013/11/25/cyberattack-leads-to-heist-of-1-million-i...

Alex R. Tomkiewicz

Da jeg læste denne historie i aftes var min første følelse noget tragisk. Bitcoins bliver jo i øjeblikket fremhævet som verdens mulige redningsvaluta overfor undertrykkende regeringer, valutadiktatur og de uhellige centralbanker. Tænk at nogle lyssky personer ville bryde ind og stjæle det hellige virtuelle guld. En betalingstjeneste som formidler Bitcoins er vel egentlig en god idé?!? En del af starten på det nye årtusindes økonomiske demokrati. Men netop det er vel grunden til "the perfect crime". Bitcoin wallets? Det lyder lige først som en god idé, Hr. Henriksen. Men efter at have tænkt over det beskrevne forløb så begyndte jeg først med en svag fnisen som igennem et forløb gik over i skraldgrin på gulvet.

Det vil være interessant hvis der er en jurauddannet til stede på v2. For er det ikke en bank vi her har med at gøre? Og hvis den gode Hr. Henriksen, men sine 15 års erfaring, ikke har en banklicens … er vi så ude at glide? Jeg mener hvis kunder kan deponere penge - så er det vel en finansiel virksomhed? Og så er det ikke engang købelov etc. som foreslået. Så er det lov om finansiel virksomhed. Nej. Nu begynder jeg at grine igen.

Som det så også er påpeget, hvis det er tilfældet, så er BIPS' Terms of Service komplet irrelevant. Så er vi ude i juridisk ansvarspådragelse, erstatningskrav og alt hvad kunder og Onkel Statsmagt kan spænde for vognen. (Medmindre de lader det passere for det er jo blot illegitime Bitcoins.) Jeg kan allerede se kammeradvokaten spænde slipset med et svagt smil reflekteret i spejlet. Og netop hvis indlånerne af Bitcoins så også er lidt lyssky og gemmer hård virtuel valuta rundt omkring… Så er min anbefaling at spænde hjelmen og knæskalsbeskytterne, pakke den skudsikre vest og hurtigst muligt styre mod Sydamerika og en ny identitet.

Men måske var de hurtigere. Et DDoS angreb som nedbrød forsvaret? Sig mig, er vi i elektromiddelalderen? Eller var der nogen der mødte op på BIPS-kontoret med et memory stick og en kort Powerpointpræsentation om deres medbragte værktøj, af hvilket en særlig dimension benævnes kaliber? Det er kun spekulation. Men historien som gengivet holder selvfølgelig ikke. Det eneste præcise omkring forløbet som findes i denne artikel er citatet: "Så tænker man ’fuck’"- Netop. Vi er vist mange indenfor IT der har været der før. Men her er vi vist helt ude i tyk brun streg i buksen.

Jeg ser nu for mig den gode Hr. Henriksen iklædt forsvarlig scooterhjelm på vej mod Schiphol lufthavnen på knallert 45 med et brændende håb indeni om at nogen vil veksle Bitcoins for en billet til Argentina og en fremtid på Pampassen.

Det er tragisk og tragikomisk. Men jeg kan bare ikke holde op med at grine… "Hackeren overbelastede vores switche" … :-)

Brian Hansen

Det er som nok muligt at tvinge en SAN switch i knæ udefra, men normalt så bukker IO på diske og evt. database servere under længe inden selve "transport nettet".
Selvom DDoS hyppigt bliver brugt som afledning til at fylde logs op og holde IT personalet optaget mens man lister indad bagdøren, så tvivler jeg også stærkt på en "hacker" har "slået hul" på en switch og tømt den for bit coins.
Enten er ejeren fuld af løgn eller han har ikke den fjerneste anelse om hvordan de er kommet ind. Begge dele er sådan set lige skidt :-)

Log ind eller Opret konto for at kommentere