CSN- och Mecenatkortet har blivit hackade

2008-01-26 23:40 | Kategorier » Hacking, IT-säkerhet, Nyheter,

MecenatTidigare i år har vi kunnat läsa om hur TV3 och Aftonbladet blivit hackade. Bilddagboken har fått sina användarkonton avslöjade, detsamma gäller Efterfesten. Vad gäller Efterfesten så har de lagrat lösenorden i klartext i databasen.

Nu har Mecenat AB (företaget som håller i både Mecenat- och CSN-kortet) råkat ut för ett hack, enligt de som hackat sidan har Mecenat AB lagrat lösenorden i klartext. Det vill säga: Vem som helst som har tillgång till databasen kan läsa lösenorden.

Att man kör lösenord genom en envägskryptering, en så kallad hash-funktion innan man lagrar dem är en självklarhet, det är något man lär sig (eller i alla fall bör lära sig) i samma veva man börjar kolla lite på olika former av inloggningssystem. Att en privatperson som sitter hemma och kodar en egen liten sida kanske inte tänker på det är en sak, men att stora företag gör samma missar är rent ut sagt skrämmande. Vid hashning av lösenord bör dessutom någon form av extra data tillföras, ett så kallad ”salt”. Detta gör att även simpla lösenord får ökad säkerhet.

Vad som gör det ännu mer anmärkningsvärt är att efter alla attacker som skett hitintills i år så borde rimligtvis alla företag sett över sina rutiner.

Aftonbladet kan man läsa om attacken, där framgår det också att det kan vara cirka 930 000 studenters uppgifter som är på vift efter hackningen av sidorna. Namn, adresser, telefonnummer, e-postadresser och lösenord. Allt lagrat i klartext. Även Dagens Nyheter skriver om hacket.

Där kan man läsa ett uttalande från Jonas Levin (Vice VD på Mecenat AB):

– Jag vill betona att det via vår hemsida inte går att komma åt några personuppgifter som är förbehållna CSN, säger Jonas Levin, som menar att hackarna visserligen tagit sig in men att det enda praktiska det inneburit är att de kan ha fått möjlighet att handla med rabatt via nätet utan att inneha CSN-kort.

– Och för att kunna köpa något måste man ju ändå betala för sig.

Jag vet inte om han helt lyckas missa allvarlighetsgraden i det hela. Det handlar inte om att obehöriga kan handla med rabatt. Det som är det allvarliga är att de har lagrat lösenorden i klartext.

Observera att det alltså inte är CSN (Centrala studiestödsnämnden) som håller i CSN-kortet, det är Mecenat AB.

Jag har vid ett flertal tillfällen ringt Mecenat och påtalat för dem att jag ogillar att mitt lösenord skickas ut tillsammans med det nya kortet, jag påtalade för dem att de borde se till att ha sådant lagrat i någon krypterad form. Uppenbarligen ignorerades detta helt (om det ens framfördes vidare).

På Mecenats hemsida kunde man ett tag läsa följande meddelande:

Vi gör inte detta för att kidsen ska kunna ha kul med folks mail och lösenord så bara fetglöm att vi ger er databasen över konton.

Jag hoppas verkligen att de som attackerade sidan håller detta.

Det gick även att läsa:

Hack?

God kväll.

Nu kanske ni undrar vad det här är. Nu råkar det vara så att CSN/Mecenat kanske borde förbättra sin säkerhet eftersom de just nu är en fara både för er som studenter och för sig själva.

Antingen är de tbara lata eller så har de inte haft koll på nyheterna de senaste veckorna. Biddagboken hade iallafall försökt kryptera sina lösenord även fast deras metod inte var den bästa. Men CSN/Mecenat har tamefan sparat lösenorden i klartext och det kan till och med själva utan att några problem bara söka upp en student och kolla vad de har valt för lösenord på sidan.

Vi respekterar de som har samma lösenord på flera hemsidor eftersom det kan trots allt vara rätt svårt att komma ihåg för vissa. Sen att folk har lösenord som sitt förnamn och liknande det är oacceptabelt. Men när folk väl har ett riktigt bra lösenord och sedan anväder det på en sån här ”Skit-Sida” (Vi har personligen inget emot CSN/Mecenat) så spelar det ju ingen roll hur säkert man än har. Folk kan se det iallafall,

Vi är inte ute för att förstöra, vi vill bara varna sidans användare och försöka få CSN/Meccenat att förbättra sin säkerhet för detta går inte. Visst vi kunde ha skickat ett mail till dem och varnat om hålet (Hålen rättare sagt) men vad skulle hindra dem från att bara fixa hålen och skita i användarnas säkerhet och inte börja kryptera lösenorden. Med hjälp av detta lilla meddelandet till folket så kan även ni få redan på denna stora sidas brister.

PS:
Ni som förväntar er en jävla databasdump med emails och lösenord kan genast gå ut och leka med eran cykel. Det finns inget värre än ett gäng småungar som lekar cool på oskyldigt folks email/msn.

Visst har de rätt, det är spelar ingen roll att användarna är noga med sina lösenord när sidägarna helt struntar i att kryptera lösenorden. Man får hoppas att hackarna håller sitt löfte om att inte läcka ut uppgifterna.

Ytterligare ett meddelande som lämnades på sidan:

Förlåt

För att vi så enkelt tog oss in och knyckte hela eran databas inkl personuppgifter om hela Svea rikes studenter och deras lösenord! Vi lovar att inte läcka : )

2008-01-27 kl 00:23

Nu har SVT postat en nyhet rörande hacket mot CSN- och Mecenatkortet och på både CSN- och Mecenatkortets hemsida kan man läsa följande:

Information från Mecenat AB

Mecenatkortet och CSN-kortet utsattes under helgen för dataintrång. När vi blev medvetna om detta stängde vi ner våra sidor. Vi genomför nu en säkerhetsgenomgång och kommer inte öppna sidorna igen förrän den är genomförd.

Reserabatterna på SJ och bussbolagen berörs inte av att sidorna ligger nere. Däremot kan det bli problem med bokningen av studentrabatterade resorna med SAS.

Så snart vi kan öppna igen kommer vi att skicka ut information till samtliga användare med mer information om vad som inträffat och våra åtgärder. Till dess rekommenderar vi att alla som använder sitt lösenord på Mecenatkortets eller CSN-kortets hemsidor även för andra inloggningar byter ut detta lösenord.

Hälsningar
Jonas Levin VD på Mecenat AB

2008-01-27 kl 01:05

Enligt PUL, Personuppgiftslagen så skall personuppgifter lagras på ett säkert sätt

Säkerhetsåtgärder
31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

Då kan man börja se till de olika punkterna

a) Hade det varit lätt att säkra lagringen av lösenorden? Javisst, det hade varit fruktansvärt simpelt.
b) Hade det varit oerhört dyrt att införa detta? Nej, med största sannolikhet hade det rört sig om en eftermiddags jobb på sin höjd.
c) De riskerna som fanns? Tja, börjar lösenorden spridas så kan det få mycket stora konsekvenser för studenterna.
d) Lösenord får anses som relativt känsliga

Kan man då anse att de har följt PUL? Nej.

Vidare kan man läsa följande:

Överföring av personuppgifter till tredje land

Förbud mot överföring av personuppgifter till tredje land

33 § Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.
Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet. Lag (1999:1210).

Varför är då detta intressant? Jo, det förefaller som att Mecenats servrar står i Amerika. Det går så klart att diskutera huruvida lösenord är personuppgifter, men lagras de tillsammans med uppgifter så att de går att knyta till en fysisk person så får man nog lov att anta det.

Varför skall uppgifter om (i största grad) Svenska studenter lagras utomlands för?

2008-01-27 kl 12:54

I artikeln hos TechWorld Säkerhet kan man läsa följande:

Mecenats VD Jonas Levin säger till DN.se att inga känsliga personuppgifter fanns lagrade, men att angriparna kan ha fått möjlighet att handla med studentrabatt.

Enligt PUL så är en personuppgift ”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.”. Är inte lösenord att anse som ”känsliga uppgifter”, med tanke på att de lätt kan användas för att bereda tillgång till ytterligare information? Är detta ytterligare en demonstration på total avsaknad av insikt i säkerhetsaspekten?

2008-01-27 kl 15:52
SVT Play har lagt ut ett TV-inslag om attacken på sin sida. I inslaget intervjuas Jonas Levin och han säger till SVT att ”inga känsliga uppgifter” läckt ut. Åter igen verkar det som att han ej klassar lösenord som just ”känsliga”. Man kan fråga sig varför det inte lyfts fram tydligare att Mecenat AB har misskött sig å det grövsta genom att lagra lösenorden i klartext.

Denna artikel uppdateras löpande.

Läs mer: Expressen skriver om hacket.

Gravatar
|
Kristofer — 2008-01-26 23:47

Är det bara jag som sett aspekten med adressändring och att det bara krävs en inloggning på mecenat för att göra sådan? 🙁

Gravatar
|
Kristoffer — 2008-01-27 00:32

Kristofer: Behövs det ingen som helst annan bekräftelse för att en sådan ändring skall ske?

Gravatar
|
Patrik Weibull — 2008-01-27 00:51

Inkompetenta webutvecklare. Detta hade jag koll på när jag gjorde mina första inloggningssystem när jag var 13.

Gravatar
|
Kristoffer — 2008-01-27 01:26

Patrik Weibull: Visst är det så. Att spara lösenorden som hashar var en av de där grundläggande sakerna man lärde sig redan från första början. Hur det kan misskötas på det här sättet på en så stor sida är för mig helt ofattbart.

Är säkerhetsmedvetandet verkligen så skrämmande lågt?

Gravatar
|
TL — 2008-01-27 02:38

Är det bara jag som vill se en polisannmälan mot CSN-kortet ?
Borde det inte vara ett brott att ha en så dålig säkerhet? Mina perssonuppgifter (namn, tel-nr, personnummer, adress) Epost, lössenord finns ute på vift.

Skrämmmande vad som skulle kunna hända.

Gravatar
|
Hcore — 2008-01-27 10:11

TL

Jag är med dig där, en polisanmälan mot CSN är det enda rätta.

Gravatar
|
Kristoffer — 2008-01-27 10:47

TL: Tja, man kan nog anse att det kan vara ett brott mot PUL att lagra lösenorden i klartext. Har en känsla av att det kommer att bli några anmälningar om det. Tveksamt om det leder någon vart däremot.

Hcore: Det är inte CSN (Centrala studiestödsnämnden) som håller i CSN-kortet. Det är Mecenat AB som sköter det, de har även sitt egna ”Mecenat-kort” med. Det är lätt att tro att det är CSN som sköter CSN-kortet, men så är alltså inte fallet. 🙂

Gravatar
|
Famer — 2008-01-27 10:51

Sparat allt i klartext.. shit.. fan man har för höga tankar om folk, man kunde ju hoppas att nån på csn hade lite hjärna iallafall.

Gravatar
|
Kristoffer — 2008-01-27 10:57

Famer: Som jag sade i mitt svar till Hcore, Det är inte CSN (Centrala studiestödsnämnden) som håller i CSN-kortet. Det är Mecenat AB som sköter det. 🙂

Men ja, visst borde det hela skötts bättre av Mecenat AB, i så fall hade hacket inte varit fullt lika allvarligt. Det är ju inte precis svårt att hasha lösenord innan man sparar dem i en databas… Känns skönt att veta att WordPress (det publiceringssystem jag använder) gör det i alla fall. =)

Gravatar
|
Anders — 2008-01-27 13:11

Har csn _inget_ med mercenat ab’s tjänst csn-kortet att göra?

Inga pengar, inget alls?

Gravatar
|
Victor — 2008-01-27 14:46

Um, om man vill göra en anmälan mot mercenant, e det 114 14 då eller söka blankett? Kan inte fatta att företag som man verkligen har en stor tillit på kan ha så jv****[endless] dålig säkerhet. När lär dom sig. Hoppas denna vågen av intrång fortsätter tills folk fattar. Jag funderar på att verkligen göra en riktig anmälan mot dom. Så kanske andra företag fattar att man vill kunna känna sig något sånär trygg i deras sida.

Jvla snåljåpar, kan ni betala runt 100 000kr för en sida, spendera då nåra tusenlappar till för att försäkra den, eller om det inte borde ingå i priset som grund. Undrar också vad regeringen gör, man hör inte dom nämna så mycket om det här. En lagändring till vårt befogande skulle vara något. Typ, en sida som inte har tillräckligt med skydd mot intrång, måste betala ersättning till användarna. De borde fan sätta press på dem!

Gravatar
|
Kristoffer — 2008-01-27 14:55

Anders: Vad jag vet så får väl Mecenat uppgifter om vilka som är berättigade till Mecenat- och CSN-kortet. Jag vet inte om det är mer än så. Kanske någon annan läsare som har bättre koll?

Victor: Jag skulle nog i så fall kontakta Datainspektionen för att få råd och tips angående hur man kan gå till väga vad gäller anmälningar kring Mecenats hantering av personuppgifter.

Gravatar
|
toad — 2008-01-28 09:54

Suck.. att dem inte lär sig.
Det är ju inte direkt en hobbysida med någons polares lösenord som riskerar att komma på drift här utan det är: ”..personuppgifter om hela Svea rikes studenter och deras lösenord”.

Man får bara hoppas att hackarna håller sitt löfte om att inte läcka ut uppgifterna. (Vet nämligen inte om mina uppgifter finns kvar.)

För övrigt så gillar jag vad du gjort med sidan. Great job!

Gravatar
|
Kristoffer — 2008-01-28 10:10

toad: Visst är det så? Även om den grundläggande säkerhetsbristen fanns där så skulle oerhört mycket avhjälpts ifall de lagrat lösenorden som hashar. Att hålet hackarna tog sig in genom inte borde funnits där är en annan sak, även den bristen kunde de oerhört lätt täppt till.

Jag tror faktiskt inte att de som attackerade Mecenat kommer att släppa ut uppgifterna, allmänt sett verkar folk ge sitt stöd till det beslutet med.

Tack så mycket förresten, kul att du gillade de små förändringarna jag gjort de senaste dagarna! 🙂

Gravatar
|
Alexander — 2008-05-02 18:20

Man kan sammanfatta hela situationen med ordet ”TRAGISKT”!

De om några borde skaffa sig lite kunskap om datorsäkerhet.

Lämna en kommentar


Regler för kommentarer på Gate 303

Creeper MediaCreeper