Hackere afpresser canadiske banker: Betal eller vi offentliggør alt I ved om jeres kunder

Illustration: Pagina/Bigstock
Der er et data-gidseldrama i gang i Canada.

Titusindvis af canadiske bankkunders personlige data er i hackeres vold som følge af et omfattende læk af data fra to store canadiske banker Simplii og Bank of Montreal. Hackerne kræver i omegnen af fem millioner kroner (1 million dollar, antageligt canadiske, red.) i løsesum.

Læs også: Årets værste hacker? Inficerede sig selv med malware, så sikkerhedsforskere kunne se alt

I forbindelse med afpresningen har hackerne demonstreret, at de har både navne, adresser, fødselsdatoer, den canadiske pendant til CPR-nummeret og ikke mindst en opgørelse over de berørtes kontobeholdninger.

Derudover har de kundernes svar på deres sikkerhedsspørgsmål.

Læs også: Misbrug af betalingskort udgør stærkt stigende andel af internetkriminalitet

CBC har kontaktet en af de berørte og konfronteret hende med hendes sikkerheds-svar;

»Holy shit. Jeg er virkelig vred over det her ... hvordan kunne det overhovedet ske?« siger kvinden, der foretrækker at være anonym, til CBC.

Læs også: Version2-undersøgelse: Hver 4. danske virksomhed har været ramt af ransomware

Bank of Montreal oplyser til CBC, at de er i gang med at informere alle de berørte kunder - også dem, der ikke bor i Canada.

Penge hævet fra konto

En bankkunde ved navn Michael McCarthy fortæller også til CBC, hvordan der er blevet hævet omkring 5.000 kroner fra hans konto. Bank of Montreal har lovet kunden, at de ville blive ført tilbage, men det er ikke sket endnu, fortæller den frustrerede kunde og tilføjer.

»Min største bekymring er alle de personlige data, der er i andres hænder lige nu.«

Læs også: Storbank styrer kontanter med AI: Hver hævemaskine kræver sin egen analysemodel

Derudover er hans kreditkort blevet blokeret, og det vil tage ham op til syv dage at få et nyt. Indtil da er han ude af stand til at købe noget eller hæve penge. Flere forventes at være i samme situation som ham.

Bankerne: Vi har styr på det

Bankerne selv mener, at de har fået kontrol over situationen. De fortæller til CBC, at de har taget en lang række forholdsregler og har skærpet overvågningen af deres systemer og deres sikkerhedsprocedurer.

»Vi tager truslerne seriøst og er overbeviste om, at datahullerne nu er lukket,« lyder det fra en talsperson fra Bank of Montreal.

Læs også: Fin7-cyberbanden menes at have hærget i årevis: »Et skridt foran«

Bankerne bakkes da også delvist op af sikkerhedsforskeren Jérôme Segura fra MalwareBytes Labs, der ikke mener, de implicerede skal være bange for, at deres data misbruges yderligere.

For så snart de kriminelle tipper bankerne om sagen, som de har gjort, falder værdien af de stjålne data markant.

Læs også: Bagmand pågrebet: Malkede banker for milliarder gennem malware

»Derfor tror jeg, de kriminelles primære formål var at afpresse bankerne,« siger Jérôme Segura til CBC.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Falder værdien af persondata, hvis de bliver offentliggjort eller handlet blandt kriminelle?
Ja den økonomiske værdi for dataen i forbindelse med salg falder måske.
Men hvad betyder den værdi for den enkelte borger?

  • 1
  • 0
Bjarne Nielsen

Hvis man skal vurdere en virksomheds værdi, så er det helt tydeligt, at dens tilgang til håndtering af persondata har meget stor betydning.

Mon vi fremover vil kunne forvente at revisor begynder at stille kritiske spørgsmål om dette, og at det bliver afspejlet i virksomhedernes årsregnskab, som minimum i revisionsbemærkningen? Ellers vil revisor vel kunne komme til at stå til klø.

  • 4
  • 0
Anders Frandsen

Ikke hvis banken ikke opererer i EU. At du er EU borger kan de være jævnt ligeglade med i Canada bare fordi du vælger at besøge en Canadisk hjemmeside, eller bruge en service udført i Canada.

Derudover ved vi ikke om der er noget i GDPR forordningen der ikke er blevet overholdt. Loven siger jo ikke at det er ulovligt at blive hacket.

  • 2
  • 0
Flemming Hansen

Ikke hvis banken ikke opererer i EU. At du er EU borger kan de være jævnt ligeglade med i Canada bare fordi du vælger at besøge en Canadisk hjemmeside, eller bruge en service udført i Canada.


GDPR gælder også for virksomheder udenfor EU hvis de har oplysninger om EU-borgere. Det er bla derfor flere amerikanske virksomheder er begyndt at blokerer IP-adresser fra EU. Det er billigere for dem at droppe EU-borgere, end at skulle bruge ressourcer på at opfylde og overholde GDPR.
Hvordan man så rent juridisk vil håndtere det ved jeg ikke.

  • 1
  • 1
Casper Wandahl-Liper

Hvis det du skriver skulle være sandt, hvilket jeg ikke tror det er, så ville det betyde at EU har jurisdiktion i hele verden og kan lave love der gælder i alle lande?
Med det setup kan jeg vel nærmest ene mand lukke tilfældige småhandlende i Zimbabwe og Taiwan hvis bare de har en webshop hvor jeg kan registrere mig og bagefter kræve indsigt i de oplysninger de har om mig.

  • 0
  • 0
Baldur Norddahl

Det har betydning hvor mange EU borgere man har som kunder. Hvis det er et betydeligt antal, kan det være at en EU ret bestemmer at produktet henvender sig til EU borgere og at EU lovgivning derfor gælder. Det er et juridisk koncept som siger at hvis eksempelvis en hjemmeside er på dansk, så henvender den sig til danskere og dansk lov gælder uanset hvor i verden hjemmesiden fysisk befinder sig.

Om myndighederne så kan håndhæve en dom er noget andet. I Danmark har vi eksempelvis fået blokeret adgang over internettet til russiske sites fordi det er den eneste måde Danmark kan håndhæve en dom imod disse sites.

Her skal man huske at EU er meget store. Det bliver ikke sjovt hvis EU idømmer dig en kæmpebøde, selvom de ikke i første omgang kan få fat i dig.

  • 2
  • 0
Log ind eller Opret konto for at kommentere