iFiske drabbas av dataintrång
2020-01-14
En eller flera angripare har lyckats stjäla iFiskes användardatabas. Till följd av detta uppmanas samtliga som registrerat ett användarkonto på tjänsten att byta sitt lösenord.
Ingen går säker från cyberattacker och det står klart att en angripare lyckats lägga vantarna på namn, e-postadresser och krypterade lösenord till de som skapat ett användarkonto på iFiske. Med andra ord har iFiske drabbats av ett dataintrång. Även om lösenorden skyddas med stark kryptering bör alla som har ett användarkonto på iFiske ta det säkra före det osäkra och byta lösenord.
Vi på iFiske kan inte annat än att beklaga det inträffade.
Vad har hänt?
– Någon eller några har kommit över iFiskes användardatabas med namn, e-postadresser och krypterade hashsummor av lösenord.
Är lösenorden krypterade?
– Ja, alla lösenord lagras i form av så kallade sk hashsummor.
Lagrar iFiske övriga personuppgifter?
– Ja, men inga av dessa har hamnat i orätta händer. Vi har en mycket tydlig och stark GDPR-policy vilket bland annat betyder att vi enbart lagrar minimalt med data och har rutiner som kontinuerligt rensar ut gammal information ur systemet.
Kan angriparna läsa mitt lösenord?
– Krypteringsfunktionen erbjuder ett skydd men det finns ändå en risk att mycket målmedvetna angripare kan lyckas lista ut lösenordet. Det gäller särskilt om lösenordet består av ett mindre antal tecken eller förekommer i ordlistor.
Bör jag byta lösenord?
– Ja, byt lösenord på iFiske. Den som använder samma lösenord på fler tjänster bör även byta dessa.
Hur byter jag lösenord?
– Logga in på iFiske och gå sedan till din användarprofil. Fyll i nytt lösenord två gånger och spara. https://www.ifiske.se/index.php/anvaendarprofil
Kan angriparen via detta angrepp handla på mitt bankkonto, swish, etc?
– Nej. På iFiske finns ingen information lagrad om t.ex. betalkort. Allt detta ligger hos externa partners.
Om jag bara köpt fiskekort, men inte har ett användarkonto på iFiske, är jag drabbad?
– Nej
Vilken personinformation har kommit ut?
– Namn, användarnamn, epostadress och krypterat lösenord.
Detaljerad information
Attacken kom till företagets kännedom genom att angriparen den 13 Januari krävde ett belopp för att hålla incidenten hemlig. I samband med detta uppvisades även bevis på att attacken var riktig och inte utan substans.
Säkerhetskunnig personal på iFiske identifierade inom loppet av en halvtimme sårbarheten i systemet och rättade koden. Angriparen lämnade tydliga spår efter sig som sedan har analyserats i detalj. Attacken kom via VPN från svenska servers i Stockholm men i fall som dessa är det i praktiken omöjligt att följa spåren tillbaka till vem eller vilka som ligger bakom.
Det står efter vår analys nu klart att det inte finns några tecken på att iFiskes kod-databas eller underliggande server-system har manipulerats eller att något administrativt konto har missbrukats. Angriparen har stannat vid att enbart stjäla vissa uppgifter ur användardatabasen.
Eftersom alla lösenord hanteras av en kryptografisk hashfunktion med dynamiskt "salt" per användare är det inte möjligt att snabbt lista ut lösenorden genom att använda så kallade regnbågstabeller. I praktiken innebär det att endast kortare lösenord och lösenord som återfinns i ordlistor löper någon påtaglig risk att hamna i orätta händer.
Syftet med attacken är att försöka utkräva pengar efter hot om att offentliggöra information om sårbarheten, som skulle kunna sänka företagets anseende och rykte.
En fullständig incidentrapport har skickats till datainspektionen och händelsen är polisanmäld.
Vad händer nu?
Datasäkerhet är diffust och svårgreppbart och precis som att det inte går att göra ett hus helt säkert för inbrott går det aldrig att uppnå hundraprocentig datasäkerhet. Alla större tjänster utsätts varje dag för ett stort antal försök till angrepp.
Vi på iFiske arbetar istället kontinuerligt med att höja trösklarna och se till att minimera potentiella skador av ett eventuellt intrång. Vi har redan ett stort antal säkerhetsprocesser och detektions-funktioner installerade i systemet och har gjort flera säkerhetsanalyser. I detta fall hittade angriparen en sårbarhet i ett underliggande system som ej utvecklats av iFiske som kunde utnyttjas.
Intrånget som detta är en påminnelse om att det aldrig går att vara helt säker. Vi behöver alla tänka på vår personliga datasäkerhet på Internet och arbeta förebyggande. Använd riktiga lösenordsfraser och återanvänd aldrig eller dela samma lösenord mellan flera olika tjänster.