Læring fra Bycyklens "primitive" hack 🔗

Den eneste fordel ved, at andre bliver hacket er, at vi andre kan lære af det uden selv at betale den høje pris. Bycyklen skriver på Facebook:

Angrebet har alene været rettet mod vores forretning, ikke vores brugere. Vi opbevarer ingen information om betalingskort, de eneste informationer, vi opbevarer, er vores brugeres e-mailadresser, telefonnumre og deres pinkoder til bycyklerne, lyder det.

Der står ikke direkte, om angriberen har kunnet tage en kopi af oplysningerne eller ej, men det ville jeg formode.

Jeg kender ikke Bycyklens system, men hvis pinkoden er 4 cifre må en nævneværdig risiko være, at de fleste mennesker genbruger PINs fra deres betalingskort i sådan en situation. Samtidigt giver e-mailadresser og telefonnumre mulighed for at angriberen rækker direkte ud til brugerne med forsøg på svindel.

En pinkode på fire cifre kan desværre gættes rimeligt hurtigt nu om dage, uanset hvilken “salted password hashing” der er blevet benyttet.

Måden angrebet blev udført på er egentlig ret primitiv, men dokumenterer, at det er udført af en person med stort kendskab til IT-opbygningen af vores system, og samtidig kan vi konstatere, at personen/personerne er kommet ind via et password

Langt de fleste angreb nu om dage er primitive netop fordi de fleste mål er i meget dårlig stand. Det er ikke nødvendigt at lægge en masse energi i.

Adgangsmetoden antyder deling af konti og kodeord, hvilket har været en dårlig ide i mange år. Som minimum skal hver medarbejder have egen konto. Kodeord er personlige og må ikke deles. To-faktor validering koster ca kr. 500 per medarbejder for enheder der kan holde i mange år.

At medarbejdere skal på gaden for at finde cykler peger på, at sikkerhedskopier ikke er tilgængelige.

Hvad kan vi lære?

• Ledelsen skal stille klare krav til ønsket sikkerhedsniveau
  • Udfør og test sikkerhedskopier automatisk; ellers sker det ikke
  • Produktionssystemer skal kræve to-faktor validering, så aflurede kodeord bliver værdiløse
  • Selv med den bedste kryptering af brugernes pinkode kan der stadigt gættes mange tusinde forsøg i sekundet, så de 9999 muligheder kan hurtigt afsøges for hver bruger
  • E-mailadresser og telefonnumre er personhenførbare oplysninger, der kræver beskyttelse
• Når sikkerhedsniveauet er implementeret, skal ledelsen følge op regelmæssigt, så afvigelser kan håndteres
  • Det ville måske have synliggjort problemer ned med sikkerhedskopier eller problemet med de delte kodeord.

Når simple foranstaltninger ikke er på plads i hverdagen, følger det ofte, at mere krævende foranstaltninger heller ikke er det. Det kan med rimelighed formodes, at Bycyklens system ikke er udviklet med høj sikkerhed for øje. Gæt selv på sikkerhedskulturen blandt udviklere og testere, om kodeinspektioner er på plads eller om der gøres brug af automatiske sikkerhedsværktøjer til at udpege programmeringsfejl.

Dette ved andre angribere desværre også, så en skjult omkostning ved dette angreb er, at Bycyklen nu er identificeret som et let mål.

Kom videre

Kontakt Alex fra Holst Sikkerhed i tilfælde af spørgsmål.