I juni ble Miljøpartiet De Grønne (MDG) utsatt for et datainnbrudd i medlemsregisteret, med påfølgende sabotasje.
De var imidlertid ikke alene om å oppleve angrep mot partiets konfidensielle database.
SVs medlemsregister ble regelrett hacket i samme tidsrom. Angriperen kom seg til slutt inn i systemet etter en serie innbruddsforsøk.
Begge partiene har samme system og leverandør. Det vil si den nettbaserte registerløsningen HyperSys fra det kundeeide firmaet Unicornis.
– Det var en svakhet ved autentiseringen som angriperen klarte å finne ut av, vedgår daglig leder i Unicornis, Andreas-Johan Ulvestad til digi.no.
Angrepet i over en uke
Det er i en avviksmelding SV har sendt til Datatilsynet – som digi.no har fått innsyn i – at hendelsesforløpet fremgår.
SV røper der at dataangrepet pågikk i over én uke. Det ble forsøkt en rekke ulike teknikker, før innbruddet endelig lyktes den 27. juni.
Da gjennom en «svakhet i koden som forbigikk tilgangskontrollen for redigering av andre brukere. Denne svakheten ble utnyttet for å ta over en bruker med høyere tilgang. Innbruddet ble oppdaget like før 02:00 den 28. juni, systemet ble stengt ned kort tid etter og sikkerhetshullet lukket i løpet av natten».
Underveis har angriper prøvd å utnytte en rekke kjente sårbarheter, inkludert i webløsninger og rammeverk som HyperSys ikke benytter seg av.
Ifølge Ulvestad ble det forsøkt utnyttelse av kjente sårbarheter i alt fra Wordpress til Django, Ruby on Rails, diverse manipulerte URL-er, til rene forsøk på knekking av passord og brukernavn.
Så langt SV kan se er det et enkeltindivid som står bak innbruddet, heter det i avviksmeldingen.
Medlemslisten ble manipulert
Partienes medlemslister er konfidensielle. Ifølge SV kan anslagsvis 91 personer ha fått sine personopplysninger eksponert under hendelsen, gjennom en listevisning av medlemskap i fire forskjellige lokallag.
Angriperen har også åpnet opp profilsiden til 11 medlemmer og hentet opp opplysninger som navn, adresse, telefonnummer, epostadresse og fødselsdato.
Partiet opplyser i sin avviksmelding til personvernmyndigheten at disse medlemmenes registrerte data i noen tilfeller ble endret.
Dessuten skal én persons opplysninger ha blitt misbrukt for å opprette en profil på partiets interne debattforum.
To-faktor
Ulvestad tar selvkritikk på at Unicornis har vært for trege med å innføre to-faktor-autentisering.
Slik sikkerhetsfunksjonalitet, med en ekstra kode sendt på SMS ved innlogging, hadde de allerede utviklet, men planen var å vente med utrulling til august. Dette på grunn av ferieavvikling.
– Hvis vi hadde hatt to-faktor-autentisering på plass så ville dette angrepet ha vært unngått, konstaterer en etterpåklok Ulvestad.
Straks innbruddet ble avdekket hastet de ut funksjonaliteten. Den er nå påskrudd som standard for enkelte kunder, men ikke alle.
Sikkerhet vs. brukervennlighet
Unicornis-sjefen peker på at man må veie brukervennlighet opp mot sikkerhet.
HyperSys er ifølge ham basert på at kundene kan aktivere og deaktivere en rekke ulike sikkerhetsfunksjoner etter eget ønske.
– Funksjonen er nå aktivert som standard hos alle kunder der Datatilsynet regner medlemskap som sensitivt. Standardinnstilling for alle nye kunder er to-faktor-autentisering og automatisk låsing av brukere ved gjentatte innloggingsforsøk og en del annet. Men vi har også kunder med mindre sensitive data, som medlemsregister for et kor kanskje. Kundene må selv få lov til å ta et valg om hva som er hensiktsmessig for dem, sier Ulvestad.
Tas på alvor
Både MDG, SV og leverandøren selv mener saken er alvorlig. Forholdet er anmeldt til politiet og under etterforskning av Oslopolitiets avdeling for datakrim.
– Vi ser enormt alvorlig på dette. Det er derfor vi har varslet Datatilsynet, men ikke minst anmeldt til politiet. Både fordi det er ulovlig å angripe våre datasystemer, men også fordi partimedlemskap og personvern er noe vi tar på stort alvor. Saken er nå under etterforskning og jeg oppfatter at politiet tar dette på alvor, sier SVs Kari Elisabeth Kaski.
– Har dere noen indikasjon på hvem som står bak, eller hva motivasjonen kan ha vært?
– Nei, vi har ikke det. Men vi har selvfølgelig gjort våre egne undersøkelser og har gått gjennom systemene, logger og har overlevert dette til politiet, forteller partisekretæren.
Fornøyd med leverandør
SV klandrer ikke leverandøren av medlemsregisteret, og innbruddet får ingen konsekvenser for kundeforholdet.
Kaski berømmer dem tvert imot for å ha tatt saken på største alvor, og for å ha reagert raskt.
– Systemet har også blitt mer sikkert i etterkant av angrepet mot oss. Vi er først og fremst opptatt av en åpenhetskultur ved dataangrep. Både politiske partier og bedrifter må ruste seg til at de kan oppleve det. Vi har både selv og med leverandør jobbet for å forhindre at noe lignende kan skje i fremtiden. Dette er noe man må har oppmerksomhet rundt i samfunnet for øvrig også, sier partisekretær Kaski.