Knæk Cancers kampagneside minede Monero, 6.500 CPR numre eksponeret

Angribere installerede krypto-mining på Knæk Cancers kampagneside og havde adgang til 6.500 CPR-numre.

Angribere har misbrugt serveren, hvor Knæk Cancer indsamlingskampagnen havde sin hjemmeside på, til at mine kryptovalutaen Monero, og havde i den forbindelse adgang til 6.500 CPR numre. Der er endnu ikke tegn på at de berørtes informationer er blevet misbrugt.

Kræftens Bekæmpelse, der står bag kampagnen, blev opmærksom på problemer med serveren d. 19 juni, da de eksterne leverandører som driver den, konstaterede et unormalt højt CPU-forbrug typisk for cryptojacking angreb, skriver Kræftens Bekæmpelse i en pressemeddelelse.

Organisationen hyrede sikkerhedseksperter fra PwC, som aflagde rapport om angrebet og de berørte CPR-numre d. 18 juli, hvorefter Kræftens Bekæmpelse kontaktede de berørte. Angriberne fik ifølge eksperterne adgang til serveren via ikke-opdateret software på serveren d. 17 april, hvorefter de installerede krypto-mining koden, som først blev aktiveret på et senere tidspunkt.

»Vi er meget kede af det besvær og de bekymringer, som hændelsen måtte give de berørte. Danskerne skal kunne stole på os i alle henseender, og det er ærgerligt og dybt beklageligt, at vi har haft sikkerhedsbruddet på den eksterne server,« siger fundraisingchef i Kræftens Bekæmpelse Ken H. Andersen.

Læs også: Drupal-fejl udnyttet til krypto-mining på højprofilerede sider

Betalingsoplysninger og donationer ikke i fare

Der er tale om siden cancer.tv2.dk, der indeholder en donationsside og indhold leveret af TV2 og Kræftens Bekæmpelse. Kræftens Bekæmpelse udelukker, at angriberne havde adgang til betalingsoplyninger, da der ikke lå bank- eller kortinformationer på serveren. De donerede beløb er heller ikke berørt, skriver organisationen.

Tilgengæld lå de udsatte personnumre der, fordi man skal indtaste sit CPR-nummer på siden for at få skattefradrag for sin donation.

https://cancer.tv2.dk/node/1449/donate

Det er Kræftens Bekæmpelses vurdering, personnumrene ikke er blevet misbrugt, og at angriberne udelukkende var interesseret i at mine Monero, og ikke misbruge personoplysninger.

Alle berørte af eksponeringen af CPR-numrene er blevet kontaktet af Kræftens Bekæmpelse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Marcher

Tilgengæld lå de udsatte personnumre der, fordi man skal indtaste sit CPR-nummer på siden for at få skattefradrag for sin donation.

Hvorfor er de numre blevet liggende på sitet? Er det ikke noget der skal sendes én gang til SKAT?

  • 8
  • 0
Denny Christensen

Det er muligt at den ansvarlige vurderer at hackerne ikke ønsker at misbruge den personinforation de har fået adgang til - men det kan vedkommende altså ikke konkludere.

Hvis der ligger CPR uden yderligere informationer, er skaden alene at disse donationer kan køres sammen med andre data 'nogen' har skaffet andetsteds. Det er brud på GDPR alligevel.

Hvis CPR ligger sammen med navn, adresse eller andre informationer vil en 'anstændig' hacker forsøge at sælge disse eller gemme dem til senere brug og nu er der i artiklen ikke oplyst om hvilke data der var tale om, men det skulle undre mig om websitet hvor donation foregår alene har haft CPR og beløb - så mon ikke der er fulgt andre informationer med?

  • 6
  • 0
Jens Beltofte

Elsker at man altid skal pointere at systemet hverken indeholdt bank- eller kontooplysninger. Vil 100x hellere have mine kortoplysninger lækket og misbrugt end mit CPR-nummer. Misbrug på kortet dækkes som udgangspunkt af banken / Nets uden problemer. Ikke sikker på at staten vil dække alle udgifter og gener at et seriøst CPR misbrug.

  • 12
  • 2
Lauritz Baess-Lehmann

Arbejder selv i en større dansk NGO, og ved derfor, at Skat kun vil modtage oplysninger om godtgørende donationer én gang om året.
Det sker i ét stort batch, hvorefter den pågældende NGO har mulighed for at tilrette få yderligere donationer, hvis det skulle være nødvendigt.

  • 4
  • 0
Baldur Norddahl

De kunne i det mindste lige have krypteret CPR-numrene, før de smed dem i databasen.

Det er faktisk ikke svært. Eksempelvis kan man kryptere med GPG hvor du bruger den offentlige nøgle til krypteringen. Dekryptering kræver den private nøgle, som gemmes offsite og beskyttet med password. Password kan eventuelt deles op i to dele, som opbevares så ingen enkeltperson kan opnå adgang.

Enkelt og nemt. Der mangler fokus på det. I stedet for kun at fokusere på trusler om bøder, så burde man også informere om godkendte løsninger.

  • 5
  • 0
Bjarne Nielsen

Der mangler fokus på det. I stedet for kun at fokusere på trusler om bøder, så burde man også informere om godkendte løsninger.

Helt enig. Men fokus er kun så småt ved at komme, fordi at der blev truet med bøder.

Jeg tror ikke, at vi skal have et katalog af godkendte løsninger, for det er vigtigt at folk selv tager ansvar og bruger hovedet - det hverken kan eller skal uddelegeres. Lidt lige som at vores hastighedsgrænser ikke er godkendte hastigheder, som fritager trafikanter for at tænke selv og bruge hovedet.

Men der er helt klart brug for mere 'best practice' indenfor dette meget oversete område. Nu siger jeg ordet 'pattern', selvom det nok er et af de mest misbrugte ord i vores branche, og jeg trods det, at det en overgang blev utroligt hypet, kun kan komme i tanke om et antal gode patterns bøger o.lign., som vil kunne tælles på en hånd - selv hvis man er persioneret maskinsnedker.

Udfordringen her er, at man modtager følsomme oplysninger, som først skal bruges senere og i et batch-agtigt setup. Allerede det er en væsentlig erkendelse, som først opstod i løbet af debatten.

Der bliver så skitseret en række mulige løsninger, alle med deres fordele og forhold, som man nok lige bør overveje.

  • kryptering inden lagring: ja, bestemt bedre, men så bliver der f.eks. udfordringer med håndtering af nøglemateriale
  • lagring i andet system/offline lagring: ja, bestemt bedre, men det flytter bare problemet, forhåbentligt til at mere sikkert sted - hvis det bare er flere æg i samme kurv, så er man lige vidt
  • asymmetrisk kryptering: ja, bestemt bedre, men ikke trivielt, og med sine udfordringer

Så der er 'patterns' her, som burde gives en mere systematisk behandling. Zone opdeling (DMZ, front end/back end) og saltning af passwords er andre eksempler på anerkendte løsningsmønstre (og der er alternativer, som f.eks. zero-knowledge-proofs istedet for klassiske passwords).

Jeg er ikke bekendt med, at det er et emne, som skulle være noget, som er blevet behandlet på systematisk vis, men det kan meget vel skyldes min uvidenhed.

  • 3
  • 0
Gert G. Larsen

Så fordi det umiddelbart lignede at det bare var cryptominer, så antager man at det nok bare var det??
Så stoler man måske også på datas integritet efter et ransomware-angreb hvor man har betalt for at få data dekrypteret igen?
Eller regner med at det DDoS-angreb man ser, bare er et DDoS, og ikke en afledning?

Hvem var det der fik et land erobret ved at skrive i sin dagbog: "i dag skete der intet bemærkelsesværdigt."

  • 1
  • 0
Kasper Hansen

Selvfølgeligt burde de have krypteret alle personfølsomme data som et minimum og håber de får et lag (metaforiske) tæsk for at fejle der. Men personligt synes jeg at den virkelige skandale er at et CPR nummer har nogen særlig værdi. At nogen folk og virksomheder stadig anser CPR for at være både identifikation og bevis på identitet er beskæmmende.

  • 0
  • 0
Henrik Biering Blogger

Det er faktisk ikke svært. Eksempelvis kan man kryptere med GPG hvor du bruger den offentlige nøgle til krypteringen. Dekryptering kræver den private nøgle, som gemmes offsite og beskyttet med password. Password kan eventuelt deles op i to dele, som opbevares så ingen enkeltperson kan opnå adgang.

Det er faktisk lettere endnu (ingen brug for nøgle- og password management), da et af formålene med asymmetrisk kryptering er at man krypterer med modtagerens (her SKATS) offentlige nøgle. Om skat så vil modtage posterne løbende eller i et årligt batch er så ligegyldigt.

  • 2
  • 0
Jens Beltofte

... ja, i første led - men hvem tror du i sidste ende dækker?

Jeg er helt med på at det gør forbrugerne, og jeg argumenterer ikke for at misbrug af kort er godt eller noget man ikke bør forsøge at undgå og dæmme op for. Mener blot, at misbrug af CPR-nummer er værre end misbrug af et kreditkort, da det kan få væsentlig større personlige konsekvenser for indehaveren af det misbrugte CPR-nummer.

  • 6
  • 0
Henrik Biering Blogger

Men personligt synes jeg at den virkelige skandale er at et CPR nummer har nogen særlig værdi. At nogen folk og virksomheder stadig anser CPR for at være både identifikation og bevis på identitet er beskæmmende.


Sålænge diverse myndigheder og virksomheder mærker alle deres data om os med CPR-nummer har det netop en værdi til ufrivillig og ukontrolleret profilering af os.

Med nutidig ID- og token-teknologi og i lyset af bevidstheden om at alle databaser før eller siden bliver succesfuldt angrebet (som i eksemplet her) er det unødvendigt og skadeligt med sådanne generelle korrelations-håndtag. Så løsningen på problemet er helt at afskaffe CPR-nummeret. Det løser samtidigt og fuldstændigt det forståelsesproblem, du beskriver. Det er desværre bare en dyr og omstændelig proces med de mange forældede legacy-systemer, der er i drift.

  • 2
  • 0
Kjeld Flarup Christensen

Modellen må forudsætte, at man kender Skats indberetningsformat før året starten. Det passer ikke så godt med det Skat, jeg kender.


Det er så kun CPR nummeret der skal krypteres. Hvor sikkert det er, at kryptere et enkelt CPR nummer er så et godt spørgsmål. Hvis man har 1.000 tekster af 10 cifre, er det så realistisk at udregne den private nøgle.

Men ellers der der jo muligheden for at hashe CPR nummeret. Hvilket også skal overvejes om der kan regnes den anden vej.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize