Kalundborg: Én dum databaseoverførsel starter 5-dages maraton med password-skift

Illustration: Elena Nichizhenova/Bigstock
Da Børsen på grund af en fejl fik adgang til tusindvis af følsomme oplysninger og passwords på FTP-server i Kalundborg Kommune, tog det fem dage at få nulstillet alle administrator kodeord.

It-afdelingen i Kalundborg Kommune kom på overarbejde, da kommunen i november gav en journalist adgang til en FTP-server, hvor en hel kundeservice-database lå ukrypteret.

På serveren lå der nemlig ud over det materiale, journalisten havde fået aktindsigt i, administrator konti samt passwords til adskillige systemkonti på tværs af kommunen samt tusindvis af følsomme oplysninger.

Der var tale om så mange konti, at det tog fem dage før de mange lokale admin passwords var ændret. Det viser dokumenter over sagens forløb, som Version2 har fået aktindsigt i.

»Der foreligger ikke frygt for genbrug af password, vi har dog - for at udelukke enhver tvivl som kan skabe utryghed hos borgere og virksomheder - valgt at skifte password på alle administratorkonti samt konti som har været en del af Kalundborg Kommunes sikkerhedshændelse,« skriver kommunens kommunikationschef Tea Hviid i en mail til Version2.

Menneskelige fejl gav adgang til databasen

Forløbet startede, da Kalundborg d. 27. november gav en journalist fra Børsen adgang til FTP-serveren, som kommunen brugte til at overføre store filer og datasæt internt og eksternt.

Kommunen havde tidligere forsøgt at overføre omkring 600 megabyte dokumenter, som journalisten skulle have på baggrund af en aktindsigt, via Digital Post systemet, men dokumenterne nåede aldrig frem. Derfor uploadede kommunen dem til FTP-serveren og bad journalisten kontakte dem, når filerne var kopieret, så de kunne slettes fra serveren igen.

Journalisten gik derefter på opdagelse på FTP-serveren. Her fandt vedkommende bl.a. en mappe med databasen bag et af kommunens supportsystemer, samt personfølsomme data om misbrug, anbragte børn og en række CPR-numre.

Mappen lå der, fordi FTP-serveren er blevet brugt uhensigtsmæssigt og på grund af en serie menneskelige fejl, fremgår det af et mødereferat mellem kommunen og datatilsynet. Databasen skulle overføres til en ny hosting-leverandør og var tilsyneladende blevet glemt, men den ene usikre overførsel blev skyld i de næste ugers omfattende password-skift og incident responses.

Kalundborg Kommune holder fast i, at serveren ikke var usikker, og at adskillige automatiserede forsøg på adgang til serveren er blevet stoppet før den blev lukket. Serveren var beskyttet af et 14-cifret kodeord, som journalisten fik tilsendt i en email i klartekst, som Version2 har set.

Skolesystemer også ramt

Børsen gjorde kommunen bekendt med, at det kompromitterende materiale lå tilgængeligt for dem den 12. december, og 18 minutter senere hev de stikket til FTP-serveren.

Det fremgår af en handlingsplan at kommunens it-afdeling derefter begyndte en undersøgelse af sikkerhedsbruddets omfang og at danne sig et overblik over hvilke filer, der lå på serveren samt hvem der ellers havde kigget i andre mapper end der var tiltænkt dem, når de havde fået adgang til serveren.

Problemet var bare, at FTP-serveren kun gemte adgangs-logs i 14 dage, så de begyndte at undersøge om tidligere logs kunne genskabes.

»Der har ikke været en teknisk log på mere end 14 dage da FTP-serverens oprindelige formål var til brug for udveksling af GIS-data (geografisk informationssystem data red.),« skriver Hviid.

Først tre dage efter FTP-serverens lukning begyndte kommunen at nulstille passwords og eksterne konsulenters adgang til sine systemer.

Det fremgår også af handlingsplanen, at lokaladministrator kodeord til alle kommunens skoler skulle ændres, og at det tog fem dage for it-afdelingen at ændre alle de kodeord, som de mente var kompromitteret.

Datatilsynet undersøger stadig sagen

Datatilsynet er stadig i gang med en undersøgelse af forløbet, men efter at have hørt kommunens forklaring af hændelserne på et møde d. 10 januar gjorde tilsynet det klart, at kommunen kan forvente kritik, når undersøgelsen er færdig.

Styrelsen anbefaler kommunen at overveje, hvordan de kan hjælpe deres borgere ved potentielt identitetstyveri, hvordan de vil informere nuværende og tidligere medarbejdere der kan være berørte af hændelsen.

Det fremgår også på dette møde at Børsen på tidspunktet var i besiddelse af de følsomme oplysninger selvom kommunen har bedt dem slette dem. Datatilsynet beder kommunen anmode oplysningerne slettet igen, men at tilsynet er villig til at se på den del af sagen, hvis Børsen ikke sletter oplysningerne.

For at undgå lignende sikkerhedsbrud i fremtiden, fortsætter kommunen sikkerhedskurser for ansatte i hele organisationen og kigger på tekniske løsninger og nye procedurer, der kan minimere muligheden for menneskelige fejl, skriver kommunen.

Kalundborg Kommune har bedt 17 personer, der har haft adgang til FTP-serveren, underskrive en tro- og loveerklæring om, at de kun har brugt adgangen til sig selv og kun til det aftalte formål.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (31)
Simon Mikkelsen

Serveren var udelukkende til overførsel af GIS-oplysninger, der typisk ikke er følsomme. Den har været fin til det. Men så har man haft brug for at overføre andre ting, og der har ikke været systemer der kunne understøtte det. Så bør man have en organisation hvor det er overkommeligt at få det manglende værktøj, men det ser man tit at det ikke er. En fil skal overføres inden for få dage, men hvis man skal kæmpe en måned eller et halvt år med at finde en løsning, så tager man tit noget andet.

Selvom de her folk naturligvis har begået en fejl i at lægge oplysninger et sted der ikke var sikret til det, er det først og fremmest en fejl i organisationen. Hvis man ikke får rettet op på den, vil dette sker igen.

Edvard Korsbæk skriver, at kommunen er i dialog med nogen der har en løsning. De er kun nået til dialog på dette tidspunkt - så forstår jeg godt at nogen vælger at springe over hvor gærdet er lavere. Det er åbenlyst at behovet for at overføre store filer opstod væsentligt før journalisten fik adgang.

Edvard Korsbæk

Lidt uddybning - Da jeg læste om Kalundborg kunne jeg se, at det til forveksling lignede de problemer jeg selv havde løst, og skrev en pæn&venlig mail om det i julen. Bluewhale er en formidabel løsning til præcist en sikker overførsel af store filer - Jeg har prøvet op mod to GB på et tidspunkt - Og den var ikke kendt i Kalundborg. Jeg er endog meget sikker på, at de ikke dummer sig lige nu, og de har faktisk kun haft 23 dage siden nytår.

Maciej Szeliga

...det er kun et stort problem i verdens mest udbredte enterprise mailserver, nu primært fordi man ikke gider ændre indstillingerne.
At sætte en SFTP server op er heller ikke nogen kunst - enten filezilla eller en hvilken som helst Linux kunne klare det.
Det er muligt at FTP serveren er i orden til GIS men så er det de forkerte personer som havde adgang til at lægge dokumenter på den...

Problemet er at folk skal vide hvilken løsning de skal bruge til hvilke filer og hvorfor... det er det tilbagevendende problem og en del mennesker tror (eller bliver bildt ind) at det problem kan løses teknisk... det kan det IKKE!

Tobias Tobiasen

Jeg har været med til at lave miljøer hvor alle passwords og hemmeligheder er midlertidige med en levetid under en time.
Det har den fordel at hvis nogen leaker et password det så virker det ikke efter kort tid. Man slipper også for at bruge 5 dage på en password skift marathon.
Eller når ex-medarbejdere ikke længere skal have adgang så sker det automatisk.

Moralen er. Skift alle hemmeligheder en gang i timen. Det lyder kedeligt, men computere er faktisk gode til kedeligt gentaget arbejde.

Martin Rosenberg

... og så er det kun løst for denne ene gang. Og hvad er odset for at der sker en tastefejl i 5 dages password-copy-paste job!

Det viser jo også at de ikke skifter password jævnligt.
Det er jo også derfor hackerne går efter admin passwords, de har flest rettigheder og skiftes praktisk talt aldrig, hvilket gør dem dejlig "hackable". De har god tid.

Utroligt der ikke er flere, der benytte værktøjer som f.eks. Thycotic's Secret Server. Det ville f.eks. automatiseret processen, sætte det til skift hver uge, hvis det ønsket og med en log over skift til revisoren.

PS. Ja, jeg kender Thycotic, da jeg til dagligt arbejder med dem.

Christian Nobel

Problemet er at folk skal vide hvilken løsning de skal bruge til hvilke filer og hvorfor... det er det tilbagevendende problem og en del mennesker tror (eller bliver bildt ind) at det problem kan løses teknisk... det kan det IKKE!

Teknik kan sådan set sagtens løse mange problemer, men det fordrer at man først forstår hvad ens problem er, og gider lytte til dem der har den tekniske viden.

Reelt er denne sag jo umådelig enkel, der skal bare ikke ligge noget som på nogen måde lugter af sensitive data på en FTP server - og det er ligesom det der er et af hele hovedelementerne i GDPR, nemlig at sikkerhed skal tænkes ind fra starten.

Kalundborg kommune (og sikkert også 96-97 andre) får travlt op til 25. maj.

Lasse Mølgaard

Jeg har været med til at lave miljøer hvor alle passwords og hemmeligheder er midlertidige med en levetid under en time.

Okay så ekstremt har jeg nu alligevel aldrig oplevet selv.

Men anyhow: Den eneste måde det kan virke, er hvis man har en dims der kan genere nye koder a la Google Authentikator.

Jeg tror ikke jeg kan finde på nye password hver time, hvis de skal stadigvæk overholde kravene til et godt / stærkt password.

Især ikke hvis jeg skal huske på et nyt password hver time.

Martin Rosenberg

Det er bl.a. det Secret Server fra Thycotic kan hjælpe med, den laver lange maskine-genererede kryptiske passwords imod dine Service Accounts og skifter dem så ofte du ønsker.
Du laver selv, individuelt og sikkert MFA-login imod Secret Server, der står imellem dig og der Service/Server du ønsker adgang til.
Skulle du sige op, så er alle dine adgange og passwords skiftet med et enkelt tryk på en knap.

Kevin Johansen

Lige præcis! Hvis ikke PostStenalder sad på NemPost eller whatever, så var afregningen ikke så latterlig gammeldags.
Men fordi man ikke kan tænke i andet end porto, betales der PER OVERFØRT data (!!) og ikke pr. lagret data, hvilket jo absolut ingen mening giver.

Faktisk kunne det offentlige spare en hel del, hvis alle dokumentet blev sendt som ren tekst, uden nogen form for grafik el. lign.
Det er så dybt gammeldags en tankegang, og det allerværste er, at man faktisk satte grænsen NED ved seneste forhandling fra de 200 (mega), der var det oprindelige, til 100.

Min bedre halvdel bøvler stadig i tide og utide med at lave aktindsigt, der iøvrigt så skal sendes til et ekstern firma, der så står for leveringen, fordi DET IKKE KAN LADE SIG GØRE AT OVERFØRE "STORE" MÆNGDER DATA I digitale Danmark. Det bliver ikke bedre af, at alt post scannes, dvs. ligger som billeder og ikke tekst.

DYBT godnat!

Kim Henriksen

Problemet kunne også være løst, med et værktøj der kunne skabe et arkiv og dele filen op i mindre bidder á f.eks. 200MB

Et simpelt værktøj, til Windows kunne være WinRAR.

Er man Linux bruger (og OSX?), så ville tar + split i afsender enden og cat + tar i modtager enden kunne løse opgaven.

Det er ikke "smukke" løsninger, men de er simple, og det burde være noget de kommunale IT folk kan klare !

Henrik Sørensen

Er jeg den eneste der undrer mig over at den ansvarlige for de enkelt datafiler IKKE har krypteret sine filer INDEN vedkommende giver dem fra sig til en transportør (FTP serveren) der er udenfor hans kontrol.

Med bl.a. sundhedsdata CD’en der landede hos kineserne in mente, så burde det stå mejslet i granit, at man ALDRIG må stole på transportøren som eneste sikkerhed.

Når DU har adgang til data har DU ansvaret for at dine handlinger ikke kompromitterer fortrolighed og integritet ... så simpelt er det

Jacob Christiansen

FTP server og ect. er der egentlig ikke noget galt med. det er det man lægger på serveren og adgangen her til der kan og i dette tilfælde er galt. I oprindelig presse lokal fra før jul, blev der lagt nogle backup data på serveren, da man ikke havde plads og adgange andre steder. Man skal jo spare - hm. hvor dyr er en hardisk ? De berørte persondata har kunne tilgåes af 17 konti ( fra seperat meddelelse fra KLB kommune til berørte borgere )

Tobias Tobiasen

Okay så ekstremt har jeg nu alligevel aldrig oplevet selv.

Men anyhow: Den eneste måde det kan virke, er hvis man har en dims der kan genere nye koder a la Google Authentikator.

Jeg tror ikke jeg kan finde på nye password hver time, hvis de skal stadigvæk overholde kravene til et godt / stærkt password.

Især ikke hvis jeg skal huske på et nyt password hver time.


Nu er det ikke dit pasword til din egen konto jeg snakker om. Dit eget password til din konto kan naturligvis ikke skiftes hele tiden. Men det er heller ikke det artiklen handler om.

Jeg skrev om passwords til system konti, database password, JWT secret keys, osv. Disse hemmeligheder bør ikke bruges af mennesker og derfor kan de skiftes ofte.

Mogens Lysemose

Kommunen selv negligerer problemet:

["Risikoen (..) er så godt som ikke eksisterende", siger kommunaldirektør Jan Lysgaard Thomsen
Der er "Klarhed over antal adgange og trafik" men "kan kun kortlægges 14 dage tilbage i tiden"...]
(https://www.kalundborg.dk/Om_kommunen/Nyheder/Nyhedsvisning.aspx?Action=...)

I Kommunens redegørelse til datatilsynet findes væsentligt dog mere interessante ting

Serveren er etableret i 2012!

Antallet af eksponerede medarbejdere og borgere er:
Datatype Antal berørte
personer
CPR-nummer (Medarbejdere)
(Nuværende og tidligere medarbejdere)
5000

CPR-nummer (Borgere)
(Borgeres CPR-numre, samt i nogen tilfælde indikationer af sociale
ydelser):
2100

Almindeligt fortrolige oplysninger
(Privatøkonomi, sociale ydelser):
29

Særligt følsomme oplysninger
(Race, politisk overbevisning, fagforeningsforhold, seksuelle forhold,
strafbare forhold, andre private forhold (familiestridigheder, o. lign):
43

Bjarne Nielsen

Serveren var ikke sat op til personfølsom brug

"Life, uh, finds a way" ...

Når den er der, så bliver den brugt, specielt, hvis alternativer mangler eller er besværlige. Det sker ikke kun i Kalundborg, det sker hele tiden.

Og måske skal vi være glade for, at der var en (usikret) FTP-server, for ellers så havde man nok brugt Facebook eller noget. Lukker man netværket for FB, så kobler de deres mobiltelefon op som hotspot. Brugere ... suk!

Mogens Lysemose

Når der er tale om adgang til personfølsomme data, er 14 dages log ikke nok.

Vil mene at 14 dages log aldrig nok til en internetserver.
I det konkrete tilfælde kan problemet jo potentielt have stået på siden 2014 (?) men de kan kun redegøre for 14 dage.

Selv uden følsomme data på den er det væsentligt: Det tager ofte mere end 14 dage at opdage at en server er blevet kompromitteret, og at afgrænse problemets omfang og start.
Hvis den var blev overtaget og brugt som indgangs-vektor (jumphost) til videre angreb ind i intranettet.
Desuden bør servere logge til en central logging-server så logs ikke går tabt hvis serveren selv går tabt/bliver kompromitteret.

Ebbe Hansen

Kan ikke lade være med at tænke på, om de to hændelser er forbundne. Altså hvis der (måske) været password (måske endda admin-) til visse af de tjenester, der fik nulstillet deres password hos Moderniseringsstyrelsen, på Kalundbort-serveren, så ville det være en god grund til password-nulstillingen.

Kalundborg: Én dum databaseoverførsel starter 5-dages maraton med password-skift

Kæmpe sikkerhedshændelse i staten: Passwords nulstillet på 10 systemer

Hans Nielsen

"Har selv oplevet at få akt indsigt på et USB stik."

Nysgerrig: Hvordan fungerer det i praksis - leverede du selv usb-sticken, evt. ved fremmøde? Eller sendte de blot det hele på en usb-stik (i så fald er det vil ikke særligt sikkert).

Det var deres egen USB stick.
Med eget logo . Hvis man køber tilstrækkeligt mange. og chefen for afdeling selv har en lille EDB forretning, så bliver det sikkert heller ikke dyre.

Nu var det ikke personlige oplysninger, men derfor skulle data nok have været kryptere alligevel. Det var de ikke.

Men stadigt langt den sikker og nemmest løsning. Vi har jo brevhemmeligheden,, og vil sende de samme oplysninger ud printet på papir, via et brev !


Der var en som talte om at splitte filerne op i dele. Held og lykke med det., Hvem skal supportere brugeren, når der skal installeres programmer og filene skal sættes sammen og pakkes ud. Og hvem sikker at der er et program til dette, frit og let tilgængelige til alle platforme. Som bruger kan finde ud af at hente og installere,

Bare udviklingen af det, eller support. Kan betale USB stik og porto de næste 10 år.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder