CSN- och Mecenatkortet har blivit hackade

2008-01-26 23:40 | Kategorier » Hacking, IT-säkerhet, Nyheter,

Tidigare i år har vi kunnat läsa om hur TV3 och Aftonbladet blivit hackade. Bilddagboken har fått sina användarkonton avslöjade, detsamma gäller Efterfesten. Vad gäller Efterfesten så har de lagrat lösenorden i klartext i databasen.

Nu har Mecenat AB (företaget som håller i både Mecenat- och CSN-kortet) råkat ut för ett hack, enligt de som hackat sidan har Mecenat AB lagrat lösenorden i klartext. Det vill säga: Vem som helst som har tillgång till databasen kan läsa lösenorden.

Att man kör lösenord genom en envägskryptering, en så kallad hash-funktion innan man lagrar dem är en självklarhet, det är något man lär sig (eller i alla fall bör lära sig) i samma veva man börjar kolla lite på olika former av inloggningssystem. Att en privatperson som sitter hemma och kodar en egen liten sida kanske inte tänker på det är en sak, men att stora företag gör samma missar är rent ut sagt skrämmande. Vid hashning av lösenord bör dessutom någon form av extra data tillföras, ett så kallad ”salt”. Detta gör att även simpla lösenord får ökad säkerhet.

Vad som gör det ännu mer anmärkningsvärt är att efter alla attacker som skett hitintills i år så borde rimligtvis alla företag sett över sina rutiner.

På Aftonbladet kan man läsa om attacken, där framgår det också att det kan vara cirka 930 000 studenters uppgifter som är på vift efter hackningen av sidorna. Namn, adresser, telefonnummer, e-postadresser och lösenord. Allt lagrat i klartext. Även Dagens Nyheter skriver om hacket.

Där kan man läsa ett uttalande från Jonas Levin (Vice VD på Mecenat AB):

– Jag vill betona att det via vår hemsida inte går att komma åt några personuppgifter som är förbehållna CSN, säger Jonas Levin, som menar att hackarna visserligen tagit sig in men att det enda praktiska det inneburit är att de kan ha fått möjlighet att handla med rabatt via nätet utan att inneha CSN-kort.

– Och för att kunna köpa något måste man ju ändå betala för sig.

Jag vet inte om han helt lyckas missa allvarlighetsgraden i det hela. Det handlar inte om att obehöriga kan handla med rabatt. Det som är det allvarliga är att de har lagrat lösenorden i klartext.

Observera att det alltså inte är CSN (Centrala studiestödsnämnden) som håller i CSN-kortet, det är Mecenat AB.

Jag har vid ett flertal tillfällen ringt Mecenat och påtalat för dem att jag ogillar att mitt lösenord skickas ut tillsammans med det nya kortet, jag påtalade för dem att de borde se till att ha sådant lagrat i någon krypterad form. Uppenbarligen ignorerades detta helt (om det ens framfördes vidare).

På Mecenats hemsida kunde man ett tag läsa följande meddelande:

Vi gör inte detta för att kidsen ska kunna ha kul med folks mail och lösenord så bara fetglöm att vi ger er databasen över konton.

Jag hoppas verkligen att de som attackerade sidan håller detta.

Det gick även att läsa:

Hack?

God kväll.

Nu kanske ni undrar vad det här är. Nu råkar det vara så att CSN/Mecenat kanske borde förbättra sin säkerhet eftersom de just nu är en fara både för er som studenter och för sig själva.

Antingen är de tbara lata eller så har de inte haft koll på nyheterna de senaste veckorna. Biddagboken hade iallafall försökt kryptera sina lösenord även fast deras metod inte var den bästa. Men CSN/Mecenat har tamefan sparat lösenorden i klartext och det kan till och med själva utan att några problem bara söka upp en student och kolla vad de har valt för lösenord på sidan.

Vi respekterar de som har samma lösenord på flera hemsidor eftersom det kan trots allt vara rätt svårt att komma ihåg för vissa. Sen att folk har lösenord som sitt förnamn och liknande det är oacceptabelt. Men när folk väl har ett riktigt bra lösenord och sedan anväder det på en sån här ”Skit-Sida” (Vi har personligen inget emot CSN/Mecenat) så spelar det ju ingen roll hur säkert man än har. Folk kan se det iallafall,

Vi är inte ute för att förstöra, vi vill bara varna sidans användare och försöka få CSN/Meccenat att förbättra sin säkerhet för detta går inte. Visst vi kunde ha skickat ett mail till dem och varnat om hålet (Hålen rättare sagt) men vad skulle hindra dem från att bara fixa hålen och skita i användarnas säkerhet och inte börja kryptera lösenorden. Med hjälp av detta lilla meddelandet till folket så kan även ni få redan på denna stora sidas brister.

PS:
Ni som förväntar er en jävla databasdump med emails och lösenord kan genast gå ut och leka med eran cykel. Det finns inget värre än ett gäng småungar som lekar cool på oskyldigt folks email/msn.

Visst har de rätt, det är spelar ingen roll att användarna är noga med sina lösenord när sidägarna helt struntar i att kryptera lösenorden. Man får hoppas att hackarna håller sitt löfte om att inte läcka ut uppgifterna.

Ytterligare ett meddelande som lämnades på sidan:

Förlåt

För att vi så enkelt tog oss in och knyckte hela eran databas inkl personuppgifter om hela Svea rikes studenter och deras lösenord! Vi lovar att inte läcka : )

2008-01-27 kl 00:23

Nu har SVT postat en nyhet rörande hacket mot CSN- och Mecenatkortet och på både CSN- och Mecenatkortets hemsida kan man läsa följande:

Information från Mecenat AB

Mecenatkortet och CSN-kortet utsattes under helgen för dataintrång. När vi blev medvetna om detta stängde vi ner våra sidor. Vi genomför nu en säkerhetsgenomgång och kommer inte öppna sidorna igen förrän den är genomförd.

Reserabatterna på SJ och bussbolagen berörs inte av att sidorna ligger nere. Däremot kan det bli problem med bokningen av studentrabatterade resorna med SAS.

Så snart vi kan öppna igen kommer vi att skicka ut information till samtliga användare med mer information om vad som inträffat och våra åtgärder. Till dess rekommenderar vi att alla som använder sitt lösenord på Mecenatkortets eller CSN-kortets hemsidor även för andra inloggningar byter ut detta lösenord.

Hälsningar
Jonas Levin VD på Mecenat AB

2008-01-27 kl 01:05

Enligt PUL, Personuppgiftslagen så skall personuppgifter lagras på ett säkert sätt

Säkerhetsåtgärder
31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

Då kan man börja se till de olika punkterna

a) Hade det varit lätt att säkra lagringen av lösenorden? Javisst, det hade varit fruktansvärt simpelt.
b) Hade det varit oerhört dyrt att införa detta? Nej, med största sannolikhet hade det rört sig om en eftermiddags jobb på sin höjd.
c) De riskerna som fanns? Tja, börjar lösenorden spridas så kan det få mycket stora konsekvenser för studenterna.
d) Lösenord får anses som relativt känsliga

Kan man då anse att de har följt PUL? Nej.

Vidare kan man läsa följande:

Överföring av personuppgifter till tredje land

Förbud mot överföring av personuppgifter till tredje land

33 § Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.
Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet. Lag (1999:1210).

Varför är då detta intressant? Jo, det förefaller som att Mecenats servrar står i Amerika. Det går så klart att diskutera huruvida lösenord är personuppgifter, men lagras de tillsammans med uppgifter så att de går att knyta till en fysisk person så får man nog lov att anta det.

Varför skall uppgifter om (i största grad) Svenska studenter lagras utomlands för?

2008-01-27 kl 12:54

I artikeln hos TechWorld Säkerhet kan man läsa följande:

Mecenats VD Jonas Levin säger till DN.se att inga känsliga personuppgifter fanns lagrade, men att angriparna kan ha fått möjlighet att handla med studentrabatt.

Enligt PUL så är en personuppgift ”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.”. Är inte lösenord att anse som ”känsliga uppgifter”, med tanke på att de lätt kan användas för att bereda tillgång till ytterligare information? Är detta ytterligare en demonstration på total avsaknad av insikt i säkerhetsaspekten?

2008-01-27 kl 15:52
SVT Play har lagt ut ett TV-inslag om attacken på sin sida. I inslaget intervjuas Jonas Levin och han säger till SVT att ”inga känsliga uppgifter” läckt ut. Åter igen verkar det som att han ej klassar lösenord som just ”känsliga”. Man kan fråga sig varför det inte lyfts fram tydligare att Mecenat AB har misskött sig å det grövsta genom att lagra lösenorden i klartext.

Denna artikel uppdateras löpande.

Läs mer: Expressen skriver om hacket.