Et hackerangrep mot Tivoli i København i begynnelsen av august har ført til at hundrevis av gjesters kontoer er på avveie. Det er fornøyelsesparkens plattform «Mit Tivoli» som er rammet, bekrefter direktøren for IT- og forretningsutvikling Jonas Buhl Gregersen overfor Version2.dk.
Gregersen vil ikke tallfeste nøyaktig hvor mange gjester som er berørt, men hevder det er under én prosent av det samlede antall profiler.
– Det er godt under tusen personer som er rammet av dette, men jeg kan ikke kommentere det nærmere, sier IT-direktøren.
Navn, adresser og info fra betalingskort
Gjerningsmennene har skaffet seg adgang til en rekke av gjestenes kontoopplysninger. Det inkluderer blant annet navn, adresse, telefonnumre, epostadresser, fødselsdato og opplysninger om tidligere kjøp, som årsabonnement eller inngangsbilletter.
Videre har noen av de berørte kontoene også hatt tilknyttede betalingskort. På tross av det har det ifølge IT-direktøren ikke vært mulig for angriperne å belaste eksempelvis adgangskort eller billetter på gjestenes regning.
Det skyldes at brukerne må taste inn kontrollsifre fra de lagrede kortene før de kan kjøpe produkter på plattformen, uansett beløpets størrelse, påpeker Gregersen.
– Om lag 15 prosent av de kompromitterte brukerne har hatt et betalingskort lagret på profilene sine. Vi har selvsagt sjekket alt sammen, og det er ikke foretatt et eneste kjøp på disse kortene, sier han.
Han legger til at det dreier seg om såkalte maskerte data, som har vært lagret om betalingskortene, slik at angriperne kun skal ha fått tilgang til bruddstykker av kortnumrene. Kortene er ikke lagret hos Tivoli sine egne systemer, men hos parkens betalingsformidler.
Uvanlig mange innlogginger
Alarmen hos Tivoli gikk fredag 2. august. Ifølge IT-direktøren var det særlig to forhold som gjorde at de oppdaget angrepet.
– Først og fremst merket vi at det kom vesentlig flere innlogginger på Mit Tivoli enn det pleier å være. Jeg har ikke antallet knyttet til hendelsen, og det ønsker vi heller ikke å opplyse, men kan si at login-trafikken var unormalt høy, konstaterer Jonas Buhl Gregersen.
Det andre som vekket mistanke, var at en gjest kontakter fornøyelsesparken i samme periode, da de opplever det høye antallet innlogginger. Gjesten har fått en automatisk epost fra Tivoli om at det er blitt logget inn på vedkommendes profil fra en ny enhet, men det har ikke gjesten gjort selv.
– Deretter stengte vi ned hele plattformen Mit Tivoli. Vi sperret både for innlogging med eksisterende brukere, men også opprettelse av nye brukere. Sist mandag åpnet vi opp igjen mot slutten av dagen, forteller Gregersen, som poengterer at hendelsen er anmeldt både til politiet og Datatilsynet.
Bruk av «pwnede» adresser
I kjølvannet av sikkerhetsbruddet har Tivoli kartlagt hva som skjedde. Ifølge Jonas Buhl Gregersen var det ikke snakk om et klassisk brute force-angrep.
Det har vært relativt få forsøk på å logge inn med hver enkelt epostadresse, og nokså få av dem som feilet. Maksimalt tre innlogginger ble forsøkt per konto, og maks to av disse var med feil passord. Hadde det vært brute force, så ville angriperne ha forsøkt å logge inn med de samme epostadressene over lengre tid med langt flere forsøk, påpeker han.
Etter undersøkelsene lyder konklusjonen at angriperne har benyttet seg av epost og koder, som tidligere har lekket fra andre tjenester enn Tivoli.
– I etterkant har vi tatt stikkprøvekontroll på omkring 10 prosent av de berørte epostadressene. Vi fant samtlige på listen over lekkasjer på nettjenesten Haveibeenpwnd. Det tyder på at det er noen som gjenbruker samme brukernavn og passord til flere tjenester på nettet, sier Gregersen.
Berørte kunder skal ha blitt orientert om hendelsen den 3. august.
Han tilføyer at det nesten utelukkende dreier seg om .dk-epostadresser, som ble forsøkt brukt til å logge inn, og det dermed også umiddelbart også bare er danske adresser som er kompromittert.
– Intelligent utført angrep
Jonas Buhl Gregersen mener at angrepet mot Mit Tivoli var «relativt intelligent utført». Eksempelvis byttet hackerne IP-adresser løpende, og de unngikk å benytte den samme epostadresser flere ganger på rad.
Tivoli har ingen formening om hvem som kan ha stått bak angrepet, og det er også uvisst hva motivet har vært.
– Jeg vet ikke hvorfor det akkurat er oss som ble rammet. Jeg kan ikke se noen god forklaring på det. Kanskje har de bare vært nysgjerrig på hva det var mulig å gjøre. Det har ikke vært lignende hendelser verken før eller senere, sier IT-direktøren.
Etter hendelsen har de strammet opp rutiner knyttet til overvåkning av besøkstrafikken på Mit Tivoli, samt sperret for IP-adressene som ble brukt under angrepet. Tivoli har også gått i dialog med konsulentselskapet Deloitte om tiltak for å styrke sikkerheten på plattformen.
– Jeg mener bestemt at sikkerheten på vårt nettsted er i orden, men det er jo en underlig verden i befinner oss i, og et konstant kappløp med å holde tritt med hackerne. Det er ingen garanti om at det ikke skjer noe i morgen, og det er jo frustrerende.
Gregersen tilføyer at de har vurdert om de skal være enda tydeligere i sin kommunikasjon om å minne gjestene om at de bør ha unike passord. – Men samtidig vet vi også at folk ofte gjør det de er vant til å gjøre.
Etter angrepet har Tivoli undersøkt om flere av deres systemer, blant annet en spilltjeneste kalt Tivoli Casino også har vært utsatt for angrep, men ifølge IT-direktøren er det ikke tilfellet.
Mangler tofaktor-autentisering
Mit Tivoli kjører uten såkalt tofaktor-autentisering. Hvis det var implementert ville ikke angriperen fått logget seg inn selv med kjennskap til brukernavn og passord.
Som flere Version2-lesere vet innebærer tofaktor-autentisering at det krever noe utover brukernavn og adgangskode for å logge inn på en løsning. NemID (tilsvarer norske BankID) er et eksempel på en løsning med tofaktor-autentisering. Her må en angriper utover brukernavn og adgangskode i utgangspunktet også ha fått tak i en telefon med en app eller engangskodene på et plastkort for å kunne kompromittere en konto.
– Hvorfor hadde dere ikke tofaktor-autentisering?
– Det kunne vi ha gjort, og vi tilbyr det indirekte via Facebook-login, men det er alltid en avveining knyttet til omkostninger, brukervennlighet og hva slags opplysninger som er tilgjengelig på tjenesten, sier Jonas Buhl Gregersen.
Han erkjenner at tofaktor-autentisering er en relativt billig sikkerhetsløsning å implementere, og at man i dette tilfellet kunne ha forhindret adgangen til brukerens konti med tofaktor-autentisering. Han mener likevel at gjestene deres ikke vil akseptere plunderet med å bruke en slik løsning.
– Vår brukerskare omfatter mennesker i alle aldre og alle IT-kompetansenivåer. Det gjør det jo til tider vanskelig å lage nye løsninger, som alle føler seg trygge på å bruke. Hver gang vi gjør det får vi gjester på telefonen, som spør hvorfor det skal være så vanskelig. Så vi forsøker å balansere brukernes behov opp mot brukernes sikkerhet.
– Men tror du ikke at de ville være villige til det, hvis de på den måten kunne unngå et sikkerhetsbrudd?
– Blir man spurt, så ville nok gjestene svare ja, men når man står i situasjonen, så synes de at det er noe knot. Det teoretisk korrekte svar vedrørende sikkerhet er da også at man ikke bør gjenbruke passordene sine på tvers av tjenester, men i praksis skjer det likevel, sier han og legger til:
– Jeg er likevel enig i at det bør vurderes som en løsning blant flere, og vi skal finne ut hva som er den rette løsningen for oss. Er det å lage tofaktor-autentisering, er det krav om svært kompliserte passord eller noe annet. Akkurat nå er det ikke tatt noen beslutning om å implementere tofaktor-autentisering.
Artikkelen er levert av vår samarbeidspartner Version2.dk, en del av Teknologiens Mediehus.