Slut med slaraffenland for spear-phishere: YouSee sætter prop i læk af mailadresser

Via en funktion til glemte kodeord har det været muligt at hive kunders mailadresser ud af YouSees systemer.

Indtil for nyligt har det været muligt at hive mail-adresser på YouSee-kunder ud af virksomhedens system via en 'glemt kodeords'-funktion.

Version2-læser Stefan Milo gjorde på Twitter Yousee, der er en del af TDC Group, opmærksom på problemet torsdag 22. september. Altså sidste uge.


En lille uges tid efter, onsdag eftermiddag 28. september, har virksomheden nu lukket hullet.

Hullet der har lækket mails på YouSee-kunder har kunnet udnyttes ved at klikke på 'Glemt login?' i forbindelse med login på 'Mit YouSee'. Herefter beder systemet om et telefonnummer.

Forudsat, der indtastes et nummer på en YouSee-kunde, er det herefter muligt at få tilsendt en mail med login-informationer som igen kan give adgang til kontoen.

I den forbindelse blev den pågældende mail i første omgang vist direkte på hjemmesiden. Så det var altså muligt, ved at prøve sig frem med forskellige telefonnumre, at få systemet til at returnere synlige mail-adresser for de matchende YouSee-kunder.

Da Stefan Milo på Twitter gjorde YouSee opmærksom på dette, blev hullet umiddelbart lukket kort tid efter. Stefan Milo opdagede dog, at selvom mailadressen nu ikke længere var direkte synlig hjemmesiden, så var det stadig muligt at søge den frem i den bagvedliggende HTML-kode.

Udtrækningen af mailadressen fra HTML-koden kan gøres helt automatisk. Det har Stefan Milo lavet et lille script, som demostrerer. Scriptet tager et telefonnummer som input og returnerer en mail-adresse via Yousee-siden.

Spear-phishing

Læk af mailadresser kan være noget skidt på flere niveauer. En mailadresse lyder måske i sig selv ikke så voldsomt.

Men dels vil de fleste nok gerne selv styre, hvor deres mailadresse bliver eksponeret, ikke mindst af hensyn til spam og derudover kan den kontekst, som adressen optræder i hos Yousee være interessant for en angriber.

Når systemet reagerer på et indtastet nummer, giver det i udgangspunktet følgende informationer. Telefonnummeret på en Yousee-kunde, mailadressen på en Yousee-kunde og efter et opslag i en telefonbog, muligvis også navn og adresse på den pågældende kunde.

Og er der tale om en virksomhed, kan et opslag i det åbne virksomhedsregister CVR måske bidrage med endnu flere oplysninger.

Disse informationer kan kombineres og bruges som en del af et angreb. Det kan foregå ved at sende en mail eller sms til den pågældende person. Denne form for målrettede angreb kaldes spear phishing.

Teknikken er populær blandt it-kriminelle, fordi chancen for at få offeret til at installere malware eller overføre penge til den kriminelle - eller begge dele - er væsentligt højere, end med gængse spam-mails.

Det handler naturligvis om troværdighed. En mail med personligt indhold, der ser ud til at komme fra en virksomhed, som mail- eller sms-modtageren har en kunderelation til, vil alt andet lige virke uendeligt mere troværdig end en mail, der starter med »Dear Mr/Mrs ... «.

Processen med at hente data fra Yousee, CVR og en online-telefonbog kan automatiseres, så en stribe mails eller sms’er på kort tid kan autogenereres. En sådan mail kunne i skitseform se således ud (med de rette data indsat mellem klammerne, naturligvis):

»[YouSee-logo]
Kære [navn tilhørende telefonnummer] registeret med [telefonnummer]

Vi har endnu ikke modtaget denne måneds betaling for dit YouSee-abonnement. Du bedes venligst overføre [beløb i kroner] til [kontonummer] eller løse problemet ved at klikke på dette link [ondsindet link].

Mvh
YouSee Support«

Ikke god omgang med kundedata

Kommunikationsrådgiver hos TDC Group Povl Damstedt Rasmussen har undersøgt sagen, og via mail erkender han, at mail-eksponeringen ikke har været 'god omgang med kundedata.'

»Vi udrullede indledningsvis en midlertidig løsning, hvor e-mailen ikke fremgår synligt, men man ville stadig kunne finde den i kildekoden. Det var ikke en optimal løsning, men den bedste vi hurtigt kunne udrulle,« skriver Povl Damstedt Rasmussen.

Først med koden, der blev rullet ud på sitet i denne uge, ser der nu ud til at være sat en endegyldig prop i hullet, så det ikke længere lækker mails - heller ikke i HTML-koden.

»Brugere kan have glemt, hvilken mail de har knyttet til deres telefonnummer, så derfor har vi genintroduceret at vise indledende karakterer fra e-mailadressen, men maskeret resten, så kunden ved, hvilken mail der er tale om. Det ser vi som en god service for kunden, samtidig med at vi beskytter kundens kontaktinformationer,« står der i mailen fra Povl Damstedt Rasmussen, som slutter af med følgende formaning:

»Vi har fokus på sikkerhed og ordentlig håndtering af data, og derfor har vi selvfølgelig også taget henvendelsen fra kunden alvorligt.«

Ifølge Povl Damstedt Rasmussen har det været muligt at se kunde-mails via hjemmesiden i over et halvt år. Mailen blev synliggjort tidligere i år, fordi kunder ikke vidste, hvilken mail de havde tilknyttet deres nummer, forklarer han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere