Lotto-medarbejder anklaget for at snyde sig til gevinst på 100 mio. med rootkit

It-sikkerhedschefen hos et stort amerikansk lotterifirma står anklaget for at have brugt et rootkit til at manipulere med udfaldet af lottotrækningen og vinde 100 millioner kroner.

En nu tidligere it-sikkerhedschef hos Multi-State Lottery Association, som udbyder blandt andet lotteriet Hot Lotto i flere amerikanske delstater, er anklaget for at have misbrugt sin adgang til systemerne til at snyde sig til en lottogevinst på cirka 100 millioner kroner. Det skriver Des Moines Register.

Lottotrækningen i Hot Lotto foregår elektronisk, hvor computersystemet genererer tilfældige tal, som omsættes til tallene i lottotrækningen. Lotteriets tilfældighedsgeneratorer, RNG, burde være sikret mod manipulation gennem både overvågning af den fysiske adgang, selvtjek af koden og ekstern revision.

Men i kraft af sit arbejde var den tidligere it-sikkerhedschef én ud af fem personer, som havde adgang til at ændre på indstillingerne til overvågningskameraerne, så de ikke tog ét billede pr. sekund, men derimod blot filmede ét sekund hvert minut. Det gav ifølge anklagemyndigheden den anklagede mulighed for at indsætte et USB-drev i computeren.

Samtidig hævder vidner, at it-sikkerhedschefen ved flere lejligheder havde udtalt sig om sin fascination af rootkits. Rootkits er en særlig type malware, som er i stand til at lægge sig skjult mellem computerens hardware og styresystemet, og it-sikkerhedschefen havde særligt udtalt sig om selvdestruerende rootkits, der kan fjerne sporene efter sig selv.

Medarbejdere hos lotteriudbyderen må ikke selv spille med i lotteriet og kan ikke få udbetalt gevinster, og derfor mener anklagemyndigheden, at to medskyldige købte kuponen med de udvalgte vindertal i en kiosk ved en tankstation i delstaten Iowa.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Svend Eriksen

Når man tænker på, hvor lille chancen for at vinde i lotto er, så må alene det at en tidligere IT-sikkerhedschef vinder hovedgevinsten ved det samme lotterifirma, som han arbejdede hos, vække interesse. Han kan jo have vundet på ærlig vis, men uden at kunne beregne det, så virker det da mere sandsynligt at han har snydt, nu hvor han er én af fem, der har haft adgang til deres systemer. :)

  • 0
  • 0
#3 Jørgen L. Sørensen

Når man tænker på, hvor lille chancen for at vinde i lotto er, så må alene det at en tidligere IT-sikkerhedschef vinder hovedgevinsten ved det samme lotterifirma, som han arbejdede hos, vække interesse.

Nu var det jo ikke ham selv der købte/spillede omtalte kupon...

Som jeg læser den armerikanske artikel var der nogle stråmænd involveret, og nogle stråmænd til dem. Og som jeg forstår det, blev sagen opdaget fordi kuponnen først blev præsenteret til indløsning lige før udløb, og den angivne ejer ikke ville give fyldestgørende oplysninger --- nok fordi der er skat og andet bøvl med i sagen :-0

Jeg ville heller ikke lægge navn til en stor gevinst hvis skat og bagmand tog det meste. Hvorledes forklarer man lige at man vandt 100 millioner og nu kun har 10 tilbage :-?

  • 2
  • 0
#4 Torben Mogensen Blogger

Lottofirmaet har begået en dumhed ved at bruge computergenereret udtrækning af numre. Det gør det for nemt at manipulere, uden at det opdages. En maskine, der udvælger bolde fra en roterende tromle er sværere at manipulere: Det vil f.eks. kræve, at nogle af boldene blev udskiftet med tungere eller lettere bolde, og det vil kontrolvejninger hurtigt kunne afsløre. Udtrækningen skal selvfølgelig live-overvåges af flere menneskelige instanser, så man ikke bare kan optage en udtrækning på forhånd, indlevere en kupon, og afspille den optagne udtrækning senere. Allerhelst burde udtrækningen ske i offentlighed, så det ikke kun er nogle få teoretisk set bestikkelige mennesker, der overværer den.

Derudover har sikkerhedseksperten gjort den store fejl, at han (gennem stråmænd) har forsøgt at inkassere en stor gevinst på en gang. Store gevinster skaber altid opmærksomhed, så det er bedre at inkassere flere mindre gevinster. De fleste lottosystemer kræver ID ved indløsning af store gevinster, mens små gevinster kan indløses uden. Så ved at holde sig under bagatelgrænsen, kan man lave f.eks. 100 forskellige kuponer med små gevinster og udløse dem i forskellige kiosker.

I Danmark skal lottogevinster under 2000 kr. udbetales direkte i kiosken, og kræver såvidt jeg ved ikke legitimation. 100 kuponer med 6 rigtige (som normalt giver mellem 1400 og 2000 kroner) giver en pæn slat penge, og hvis man kan gøre det hver uge, kan man med tiden komme op på en formue.

  • 3
  • 0
#5 Frithiof Andreas Jensen

Derudover har sikkerhedseksperten gjort den store fejl, at han (gennem stråmænd) har forsøgt at inkassere en stor gevinst på en gang.

Isär hvis han havde adgang til tilfäldighedsgeneratoren - erstat den med en Pseudo-Random Number Generator med et kendt "seed" og så kender man ALLE fremtidige lotto-numre for altid (man kan selv regulere gevinsten, måske kan man "lovligt" opsamle den ved at sälge et system - eller pykisk rådgivning til spillerne ;).

  • 1
  • 0
#6 Henrik Madsen

Isär hvis han havde adgang til tilfäldighedsgeneratoren - erstat den med en Pseudo-Random Number Generator med et kendt "seed" og så kender man ALLE fremtidige lotto-numre for altid (man kan selv regulere gevinsten, måske kan man "lovligt" opsamle den ved at sälge et system - eller pykisk rådgivning til spillerne ;).

Problemet der bliver vel at der nok også analyseres på udbetalingsprocenten osv.

Hvis denne pludseligt i en periode stiger fordi nogen skimmer et halvstort beløb via flere kuponer i flere uger, så tror jeg godt du kan regne med at det bliver opdaget.

Specielt hvis du har et lille netværk af kuponkøbere og derfor oftest vil have en stigning i et lille geografisk område eller områder.

Hvis udbetalingsprocenten i gennemsnit de sidste 2 år har været på 40% i København og der så pludseligt fra den ene uge til den anden sker det at den stiger til 45% uden at resten af landet stiger, så vil det være en stærk indikator på at noget er råddent.

Fandt engang på youtube en dokumentar med en gut i USA som havde regnet ud hvordan man vandt på hestevæddeløb.

Han arbejdede selvfølgelig for it firmaet som stod for systemet som blev brugt.

Det er en del år siden og man skulle så vidt jeg husker, ligesom i V75 gætte hvilke heste som vandt 7 løb.

Der var bare ikke så meget computerkraft og båndbredde til at man kunne sende alle kuponerne til den centrale computer så det man gjorde var at man lod alle kuponer være i de terminaler som de var spillet på.

Så sendte man resultatet af de første 4 løb til terminalen og den sendte så kun de kuponer videre som havde de første 4 løb rigtigt.

Det smarte han fandt ud af, var at han kunne manipulere sine kuponer i terminalen.

Det han gjorde var at spille på de første 4 løb hvor han bare valgte én tilfældig hest og de sidste 3 løb kørte han en helgardering ved at spille på alle 12 heste.

Det han så kunne var at logge ind på den terminal han havde spillet på og når løb 1 var færdig så ændrede han sin kupon til at han i løb 1 havde spillet på den hest som vandt og så fremdeles i de første 4 løb.

På den måde vandt han.

Mener han blev busted på at kuponen var så mistænkelig i sin kombination at de nægtede at udbetale. Nogen regnede ud hvorfor den var spillet som den var.

  • 1
  • 0
Log ind eller Opret konto for at kommentere