KL’s pinlige datalæk skyldes stort ukrypteret datasæt

Illustration: KL
Det har ikke krævet et særligt stort arbejde at gøre de mange informationer fra KL’s omfattende datalæk klar til salg. Det angrebne system er mere end ti år gammelt.

Alle de informationer, som ukendte hackere hev ud fra Kommunernes Landsforenings (KL) systemer, lå i klartekst. Ukrypterede og klar til misbrug. Det oplyser KL til Version2.

Blandt de lækkede data er kodeord, mails, stillingsbetegnelser og telefonnumre på 40.000 af KL’s brugere. Allerede i sidste uge måtte KL krybe til korset og fortælle, at ukendte gerningsmænd havde tømt deres debatforum for informationer om de mange oprettede brugere.

»Jeg håber, de ansvarlige for det her har røde ører,« lyder det prompte fra sikkerhedsekspert fra CSIS, Peter Kruse. Han fortæller, at det er mere end ti år siden man begyndte at salte passwords i databaser for på den måde at undgå, man nemt kunne udnytte lækkede data.

Den uforsigtige opbevaring af informationerne har gjort det ualmindeligt nemt for angriberne at tage de mange informationer, line dem op for hver bruger og sætte dem til salg på, hvad Rigspolitiet overfor KL har beskrevet som ‘en hackerside’.

Derudover oplyser KL til Version2, at man inden angrebet blev afsløret sendte alle brugeres kodeord ud i klar tekst, hvilket i sig selv er en uforsigtig praksis.

Sat til salg på nettet

Hvad informationerne har været til salg for, vides ikke, men de lå på den illegale side i mere end ti dage, før de forsvandt, oplyser Rigspolitiet til KL.

Derefter er auktionen på de mange data fortsat offline, vurderer sikkerhedsekspert fra CSIS, Peter Kruse.

»Uanset om de er blevet solgt eller ej er de nu i hænderne på de forkerte og de her mange informationer gør det muligt at lave særdeles overbevisende svindel,« siger Peter Kruse.

For de mange informationer omfatter en masse mennesker fra de samme miljøer og firmaer. Derfor kan man forfalske nogle ganske troværdige samtaler og aftaler mellem flere forskellige medarbejdere, fortæller sikkerhedseksperten.

»At kodeord ligger ukrypteret i en database ser man heldigvis ret sjældent, og derfor tror jeg, der er tale om et årtier gammelt system, siden det ikke krypterer password, end ikke med en svag hash,« siger sikkerhedsekspert Jan Kaastrup fra CSIS, der ligesom Peter Kruse tror, der er tale om et legacysystem, der er blevet hacket.

Et system, der er gammelt og dårligt beskyttet.

»Det er klart i strid med best practice, og man er langt bagud for sin tid sikkerhedsmæssigt,« lyder det i kor fra de to kolleger.

Det hackede KL-forum er udviklet af Dwarf og er ganske rigtigt mere end ti år gammelt.

Prøvede at sikre sig

Det er ellers ikke længe siden, KL gennemgik sine sikkerhedsprocedurer og i den forbindelse fik nogle anbefalinger til, hvordan man kunne forbedre dem.

Men lige meget hjalp det, og de mange data er nu i de forkerte hænder.

»Det er ærgerligt, at vi på trods af gennemgangen er blevet hacket og vi er ærligt talt ret bekymrede over, at de forholdsregler vi tog dengang ikke var nok til at forhindre, at vi blev hacket nu. Det er ikke nogen behagelig oplevelse,« siger Ida Nielsen, der er kommunikationschef hos KL.

Amatør-angreb

KL er i gang med sammen med Dwarf at få et overblik, men ved endnu ikke, hvordan angriberne har trukket de mange informationer ud, eller hvornår det er sket.

Men der behøver ikke være tale om et sofistikerede angreb, vurderer Peter Kruse.

»Måden de her data er blevet brugt på antyder, at der er tale om unge, uerfarne hackere, der med simple og offentligt tilgængelige værktøjer har fået de her informationer ud,« siger Peter Kruse, og hentyder til at professionelle hackere næppe ville lægge de mange data til auktion på et mindre, dansk hackerforum.

Retter nu op

KL fortæller, at man har gjort en række tiltag for at rette op på fejlen. Så snart man opdagede den, nulstillede man alle passwords, og kodeordene sendes nu krypteret.

Derudover er der blevet gjort andre tiltag, som man af sikkerhedsmæssige årsager ikke ønsker at oplyse om.

Samtidig har KL bedt Dwarf om en redegørelse, hvor de blandt andet spørger ind til, hvorfor de mange informationer ikke var krypterede.

»Vi har et godt segmenteret netværk. Derfor er vi sikre på, angrebet ikke kan sprede sig rundt i netværket,« skriver KL i en mail til Version2.

For yderligere at skærpe sikkerheden omkring kl.dk lukker KL desuden ned for al udenlandsk trafik til sitet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
Hans Nielsen

10 år gamle applikationer er ikke ok


JO. De skal bare leve op til minimum af dagen standarder.
Ældre versioner, skulle nok ikke have sin gang på nettet. Men kunne beskyttes med VPN, eller helt at hive stikket til Internettet, hvis det er muligt.

Du skifter jo heller ikke altid bil. Selv om der er kommet en nyere, sikre model, som forurener mindre.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder