Hackerangreb mod it-leverandør bag app til DSB's grænsekontrol

Ukendte hackere har kompromitteret en testside til den app, som DSB bruger til at scanne og uploade billeder af folks pas, når de rejser til Sverige. Angrebet er 'uden afgørende betydning', ifølge leverandøren.

Det er lykkedes for en eller flere hidtil ukendte hackere at knække brugernavn og kodeord til en testside for appen MP Tjek, som DSB for nylig tog i brug til at scanne og uploade billeder af ID på togpassagerer til Sverige.

Kort fortalt er der tale om et brute force-angreb, hvor hackerne har afprøvet en masse forskellige brugernavne- og password-kombinationer på kort tid. Angrebet lykkedes, og hackerne fik adgang til testsiden, hvor de var i stand til at ændre kodeordet.

Det indrømmer it-leverandøren bag MP Tjek, MobilePeople, men pointerer, at angrebet er uden afgørende betydning for den løsning, som DSB bruger.

»Det er noget, vi tager ret fredeligt. Det er selvfølgelig ulovligt, ubehageligt og irriterende, men det er ikke noget, som har afgørende betydning,« siger selskabets salgsdirektør, Allan Koch, der forsikrer, at hackerne ikke på noget tidspunkt har haft adgang til DSB’s omstridte billeddatabase.

MobilePeople har siden angrebet taget testsiderne ned.

Læs også: It-chef i DSB: Kun én medarbejder har adgang til omstridt billeddatabase fra grænsekontrol

Hackere fik adgang til testside med simpelt kodeord

Hackerne fik kun adgang til de testsider, som it-leverandøren giver til potentielle kunder, så de kan prøve løsningen af.

Der er derfor ikke nødvendigvis tale om den samme udgave af løsningen, som DSB bruger til at foretage ID-tjek i Kastrup med. Samtidig er både brugernavne og kodeord på testsiden lette at knække, erkender salgsdirektøren.

For at logge ind brugte hackerne tilsyneladende brugernavnet ‘test’, virksomhedsnavnet ‘dsb’ og et kodeord, som vedkommende sidenhen ændrede til ‘#IdKontrolGate’.

»Det er slet ikke sikret på samme niveau af den simple grund, at det er noget, vi giver folk tilladelse til at prøve af. Derfor kommer man til at lave nogle ret simple passwords, som de kan finde,« siger Allan Koch.

Desuden er det kun muligt at sende og ikke modtage data fra appen og ind til serveren med den samlede billeddatabase fra ID-kontrollen - og kun hvis personalet står på udvalgte geografiske steder, påpeger han. Det er derfor ifølge salgsdirektøren ikke muligt at få adgang til at aflæse billeddatabasen via appen.

DSB har tidligere meldt ud, at det kun er én person, der har adgang til serveren, og han bliver nødt til at befinde sig fysisk ved udstyret for at logge ind på det.

For at beskytte sig mod brute force-angreb er det normalt, at login-løsninger kun tillader et vist antal forkerte login-forsøg inden for en særlig tidsperiode. På den måde undgår tjenesterne, at hackere prøver tusindvis af forskellige kombinationer af.

Hvorvidt DSB’s udgave af MP Tjek-appen har denne beskyttelse er uvist. MobilePeople vil ikke kommentere de konkrete sikkerhedsforanstaltninger i denne udgave af appen og henviser i stedet til DSB.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (9)

David Askirk Fotel

og kun hvis personalet står på udvalgte geografiske steder, påpeger han

Tjaaaa. På android er det ret nemt at sige hvor man er... eller hvor man ikke er :-)

Jeg har ihvertfald givet min telefon falske positioner så man kunne være flere steder uden at forlade min stue.

Rasmus Carstensen

Nej det gør det ikke. En kryptering kan dekrypteres. Man vil normalt heller ikke kryptere et password.
Et password bør hashes, så det ikke kan genskabes. Man sammenligner så ved at hashe det indtastede med et salt hver gang folk logger ind. Hvis man glemmer sit password skal man lave et nyt, men kan ikke få sit gamle oplyst igen.
Det er faktisk første gang i meget lang tid at jeg hører om et sted hvor de kun krypterer eller slet ikke gør noget...

Brian Hansen

Så er det virkelig dårligt ikke at have sikret det mod et meget simpelt BF angreb.
Lur mig om ikke test systemet er opbygget på samme måde som produktions systemet.

Ditlev Petersen

Dumt spørgsmål fra en amatør: Ellers er det vel ikke meget værd som testsystem?


Men ikke dummere end det, som de talsmand ævler om.

"Der er derfor ikke nødvendigvis tale om den samme udgave af løsningen, som DSB bruger til at foretage ID-tjek i Kastrup med. Samtidig er både brugernavne og kodeord på testsiden lette at knække, erkender salgsdirektøren."

Brian Hansen

Dumt spørgsmål fra en amatør: Ellers er det vel ikke meget værd som testsystem?


Spørgsmål om definition :)
Test-systemer er i min verden netop kloner af et produktions system, så der kan udføres tests man ved vil opføre sig på samme måde når evt. rettelser implementeres.
Demo-systemer, kan i teorien godt være noget helt andet der ligner og føles som den ægte vare, men jeg har kun meget sjældent stødt ind i det.
Det er simpelthen bare meget nemmere at stille en kopi af den rigtige vare til rådighed til en evt. køber.

Var det mig der solgte det software, så ville jeg have et virtuelt test-miljø i en template der var klar til deployment / kloning, og så stikke brugerne hver deres login til et fuldstændigt isoleret system.

Log ind eller opret en konto for at skrive kommentarer