Politiet modtager anmeldelse i sagen om hackerangreb på Aalborg Universitet

21. august 2020 kl. 03:454
Politiet modtager anmeldelse i sagen om hackerangreb på Aalborg Universitet
Illustration: AAU.
Et hackerangreb kompromitterede omkring månedsskiftet brugerdatabasen på Aalborg Universitet, og siden blev der lukket ned for adgangen til alle systemer, mens man undersøgte sagen. Nu er der indgivet en politianmeldelse.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Der er nu indgivet en politianmeldelse i sagen om det hackerangreb på Aalborg Universitet og efterfølgende kompromittering af brugerdatabasen, der fik universitetet til at lukke for adgangen til alle sine systemer ned 4.august.

Det fremgår af en aktindsigt, som Version2 har fået fra et møde i Universiteternes CISO-forum 10. august.

Her informerede Aalborg Universitet deltagere fra de andre universiteter, og i følgebrevet kan man altså læse, at der er indgivet en politianmeldelse.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
4 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
26. august 2020 kl. 10:57

...når magtfulde og pengestærke interesser er på spil, og der samtidig er så meget uld i mund. Se bare den aktuelle FE-skandale. Så længe ingen modig whistleblower er trådt frem, så er mistro bestemt ikke "comme il faut", men udtryk for upassende konspirationsteorier og overdreven mistro. Men se, hvor billedet vender, når whistleblowere kommer med sandheden?

Lige så her. Der er potentielt tale om nogle af vore allermest private og følsomme oplysninger ( som en del af os I FORVEJEN er meget vrede over at blive frarøvet i forskningens hellige navn), som er kommet i de helt forkerte hænder, og hvor ingen nu tilsyneladende aner, hvad der er sket med dem.

Når vi så oven i købet bliver stukket en søforklaring af nævnte (utilbørligt) elendige kvalitet ud, så er mistro både forståelig og fuldt ud berettiget. Vi borgere, som lægger data og liv til løjerne, har krav på at få de oplysninger og den viden, man faktisk har - med mindre der, som Mette Nikander anfører, ligefrem er legale grunde til at holde dem hemmelige. Men så hellere sige det direkte, end at forsøge at binde os ulogiske og pinligt utroværdige søforklaringer på ærmet.

Er der gode grunde til, at man ikke kan gå ud med mere end dette, enten fordi man ikke kan finde ud af de mest basale ting, eller fordi der er efterforskningsmæssoge hensyn, eller er der, som jeg gætter på, snarere tale om, at man som sædvanligt beskytter forskningens, og dermed pengemænds, interesser mod uønsket og farligt indblik?

Jeg tror det sidste, indtil der kommer forståelige forklaringer eller troværdige bortforklaringer. Det, der fremgår af artiklen, stinker. Og man kan da undre sig over, at ingen af de mange thumbs down, jeg har høstet, vover sig ud i direkte at forsvare den fremlagte forklaring eller svare på mine - i egne øjne - berettigede spørgsmål.

Og jeg forstår faktisk ikke, at der er så stille omkring denne kæmpe skandalesag, som potentielt kan stille meget store spørgsmålstegn ved det hensigtmæssige og legale i at høste borgernes privatliv til forskning, uden deres viden og samtykke.

3
26. august 2020 kl. 08:25

Der er meget mistro at læse i ovenstående indlæg. Men mon ikke, der er ganske dygtige ressourcer allokeret opklaringen. AAU har netop oprettet en uddannelse i netop cyber-security - det har de med baggrund i rigtig superdygtige forskere på området. Og de tilknyttede eksterne har nok også ganske gode forudsætninger for at opklare, hvad der er sket. Når det er sagt, er det et evigt kapløb mellem onde hackere og modparten, der ønsker at sikre sit. Når der ikke afsløres alt muligt, er det ikke nødvendigvis for at foreholde offentligheden og I to oplysninger (underforstået, dække over alskens inkompetence). Man kunne forstille sig, at man ikke ønsker at afsløre overfor hackerne, hvor langt man er i opklaringen, samt at man ikke ønsker at inspirere andre. Just saying

2
25. august 2020 kl. 10:43

Ja jeg stiller mig som Anne-Marie Krogsbøll skeptisk. Når man politianmelder en sag, så SKAL man ikke lukke alt ned for offentligheden, med mindre der selvfølgelig er tale om specifikke mistænkte danske parter der kan være involveret, at målet står klart og man kan skimte hvem der har hacket. Og at som der står at alvorlighedsgraden i det lækkede materiale er af væsentlig betydning for Statens IT-sikkerhed.

men udmeldingen er jo en anden...så er det bare en soveplille vi får.?...

»Potentielt har hackerne adgang til forskningsdata, adgang til ESDH-systemet, oplysninger i HR-systemet, oplysninger i økonomisystemer m.v.«, skriver AAU til Datatilsynet 5. august om angrebet, som man også kalder “sofistikeret og målrettet”.

"»Endemålet for angrebet er ukendt, men forsøg på at plante ransomware er oplagt,« ....

Jeg undres over at man mener at angrebet er målrettet, men at man samtidigt ikke kan se, hvad der har været målet med angrebet?

Selve anatomien af angrebet og et varsel om den type angreb til offentligheden, burde man kunne være åben omkring. Således at virksomheder landet over kan være opmærksomme og så vidt muligt dæmme op for noget lignende.

F.eks kunne det være interessant om det er et angreb fra Emotet gruppen, udnyttede sårbarheder, manglende awarness osv. som har bragt universitet i den situation de er i.

Den voksende lukkethed omkring sikkerhedsincidents i offentlige institutioner, understøtter desværre ikke tilliden til digitalisering og de mennesker der forvalter systemerne.

Gad vide om politianmeldelsen og markering af statens sikkerhed" udelukkende er sket, for at lukke for indsigt fra offentligheden?...

1
21. august 2020 kl. 11:21

"»Potentielt har hackerne adgang til forskningsdata, adgang til ESDH-systemet, oplysninger i HR-systemet, oplysninger i økonomisystemer m.v.«"

Er der ingen log, der kan afklare dette? Eller har hackerne simpelthen hentet alt - hvorfra de så har fri adgang til alt fremover? Eller har de slettet deres spor?

Hvornår får vi at vide, hvad der har været af passwords på diverse indhold?

"man ikke regner med, at forskningsdata eller andet værdifuldt er kommet i de forkerte hænder."

Standardudtalelse i sådanne sager - Datatilsynet siger det samme i den aktuelle skandale omkring sjusk med følsomme oplysinger hos Datatilsynet.

Hvad baserer de denne "regner ikke med"-udtalelse på (også i Datatilsynet)? Hvorfor regner de ikke med det? Er det ikke noget, de simpelthen burde kunne se et eller andet sted?

Ransomware? Er det i så fald ikke lidt mærkeligt, at der ikke er blevet bedt om "ransom" endnu?

I mine ører er der så meget uld i mund og lukkethed omkring, hvad der er sket, at det lyder meget, meget foruroligende. Jeg vil nærmest gå ud fra, at der er tale om det helt store, ekstremt følsomme og alvorlige læk, og at vore følsomme oplysninger i den grad har været i lækket (måske ligefrem solgt?) med skumle formål for øje.

Spørgsmålet er jo, om vi borgere nogensinde får det at vide - for der er jo tale om vores forskning, og forskning er Gud, og ingen har ret/lov til at kigge Gud i kortene og finde fejl der - se bare på de 10 forskere fra SSI, som er så mobsede over at blive kigget i kortene og skulle stå til helt lovligt regnskab, at de nu truer med at forlade både SSI og Danmark. Hvis det lykkes dem at unddrage sig undersøgelse og konklusion, og dermed hæve sig over lovens lange arm, fordi de er topforskere, er det endnu en kæmpe, kæmpe skandale - så lad dem i så fald for Guds skyld drage til udlandet - efter udstået straf, såfremt der er foregået noget strafbart.