SIKKERHET

Datainnbrudd hos NHH – passord stjålet fra VPN-tjeneste med kjent sikkerhetshull

Norges Handelshøyskole (NHH) sendte i går kveld ut en melding om at de var rammet av et datainnbrudd, og ba alle ansatte om å bytte passord.

NHH har sendt ut mail om datainnbrudd.
NHH har sendt ut mail om datainnbrudd. Foto: Hallvard Lyssand, NHH
6. aug. 2020 - 09:54

Onsdag kveld sendte IT-sjef i NHH ut en mail om at alle ansatte og studenter ved skolen må bytte passord snarest. 

«Hackere har utnyttet et sikkerhetshull i VPN-tjenesten Pulse Secure og stjålet brukernavn og passord fra hundrevis av bedrifter og organisasjoner», sto det i mailen.

Ble tipset av hackerne 

Selv ble Digi.no tipset om mailen om datainnbruddet ved at en av deres ansatte, Morten Tobiassen, tilsynelatende svarte på mailen noen timer senere, og satte blant annet oss på kopi. Men Tobiassen forteller til Digi.no at han aldri har sendt mail, og bekrefter at han har blitt hacket, og at han ikke lenger har tilgang til kontoen sin – svaret ser med andre ord ut til å komme fra hackerne selv. 

 I eposten, som er signert «uhodiransomwar», svarer de at NHH har tabbet seg ut, og at ikke bare fungerte rundt 40 prosent av passordene, men at rundt halvparten av de som hadde lest mailen fra IT-sjefen ennå ikke hadde byttet passord. 

«Dere burde få litt sikkerhetshjelp og trening», står det videre i mailen. 

Slik så mailen som tilsynelatende var fra Morten Tobiassen ut.
Slik så mailen som tilsynelatende var fra Morten Tobiassen ut.

Både Digi.no, VG, Dagbladet og Datatilsynet er satt på kopi på mailen, som kan tyde på at vedkommende som har sendt den har noe kjennskap til norske forhold.

«uhodiransomwar» er også en Twitter-konto som registrerte seg først i juli, og hvis eneste synlige tweets handler om hackingen av en britisk tannlegeforening. Her viser de til et innlegg på det russiske hackerforumet XSS.is, hvor foreningens data skal ha blitt truet med å bli postet hvis ikke foreningen betalte hackerne. Foreningen har selv bekreftet hackingen.

Kjent sikkerhetshull

NHH er ikke de eneste som har blitt rammet av sikkerhetshullet i Pulse Secure. ZDNet skrev på tirsdag om at blant annet alle lokale brukeres passord, kontodetaljer for admin-kontoene og SSH-nøkler til over 900 virksomheters VPN-servere nylig ble publisert på nettopp XSS.is. 

Tidsstemplene på listen over dataene viser at den har blitt satt sammen mellom 24. juni og 8. juli i år.

Sikkerhetshullet som har blitt utnyttet, CVE-2019-11510 har imidlertid vært kjent siden april i fjor. Ifølge cyber- og infrastruktursikkerhetstjenesten i USA (CISA) informerte da Pulse Secure om sikkerhetshullet og gjorde tilgjengelig en programvareoppdatering som fikset hullet. 

Senest i april i år advarte imidlertid CISA om at mange fortsatt ikke hadde oppdatert programvaren, og at sikkerhetshullet fortsatt ble utnyttet. 

Digi.no har tatt kontakt med IT-sjef hos NHH, men har foreløpig ikke fått svar. 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.