Du kan bli lurt av NSB-internett

Farlig enkelt å kapre kundenes kontoer.

Vær på vakt hvis du logger deg inn på NSBs trådløse nett. Dine kontoopplysninger kan havne på gale hender.
Vær på vakt hvis du logger deg inn på NSBs trådløse nett. Dine kontoopplysninger kan havne på gale hender. Bilde: Per Ervland
29. okt. 2012 - 07:23

De fleste av NSBs tog tilbyr nå gratis internett. For å benytte tjenesten må du ha en registrert konto på nsb.no.

Innlogging til din personlige profil på nettstedet, der du også kjøper periodebilletter og lagrer ditt betalingskort, er identisk med innlogging på NSBs trådløse WiFi-tilbud om bord på toget.

Dermed kan hvem som helst sette opp et falskt trådløsnett, lure medpassasjerer for kontodetaljer og boltre seg med fremmedes personopplysninger, reisedata og betalingskort på nsb.no.

Prosessen er enkel. Alt som trengs er en bærbar pc hvor noen oppretter et nytt trådløst nett. En person med onde hensikter vil kunne kalle dette nettverket «NSB Internett» eller tilsvarende. Via en webserver på maskinen serverer man simpelthen en forfalsket utgave av togets ordinære innloggingsside for internett.

- Sett deg på toget, fyr opp nettverket og len deg tilbake mens laptopen samler inn innloggingen til kunder som forsøker å logge seg på. Gi gjerne en «beklager tjenesten ikke tilgjengelig, prøv senere»-melding, så folk ikke fatter mistanke, skriver en tipser til digi.no.

NSB har fått nærmere to uker på seg fra vi gjorde dem oppmerksom på sikkerhetsproblemet og til denne artikkelen ble publisert.

Svaret er at de skal endre systemet. En gang i nær framtiden skal NSBs kunder slippe å måtte bruke sine personlige kontoopplysninger fra nsb.no for å logge seg inn på togets WiFi-tilbudet, men akkurat hvor lenge det vil ta er uvisst.

Inntil ny ordning er på plass er det all grunn til å være på vakt, spesielt hvis du har lagret sensitive personopplysninger på nsb.no og vil surfe med tognettet.

Kommunikasjons­rådgiver Mai-Bente Paulsen i NSB. <i>Bilde: NSB.no</i>
Kommunikasjons­rådgiver Mai-Bente Paulsen i NSB. Bilde: NSB.no

- Hensikten med å bruke samme brukernavn om bord som på NSB.no er å spare kundene for nok et sett med brukernavn og passord å holde orden på, svarer NSBs pressekontakt Mai-Bente Paulsen til digi.no.

I et senere svar utvider hun forklaringen med at de ønsker å registrere WiFi-brukerne også for at nettilgangen ikke skal kunne brukes til uønskede aktiviteter, og kunne avdekke misbruk.

Å unngå feller av typen digi.no skisserer krever kunnskap og at folk er tilstrekkelig skeptiske til hvilke nettverk de kobler seg til, påpeker hun.

- Er man usikker på tilkoblingen som tilbys så bør man la være å bruke den. Om bord i tog eller andre steder er ingen forskjell. Dette gjelder uansett om du er på et hotell, en restaurant, på fly eller tog hvor det er trådløst nettverk. Problemstillingen er helt lik, mener Paulsen.

NSB bør lære av Avinor, som tilbyr nett på en brukervennlig måte, samtidig som tilbudet er frikoblet fra din brukerprofil, mener sikkerhetsrådgiver Per Thorsheim. <i>Bilde: Marius Jørgenrud</i>
NSB bør lære av Avinor, som tilbyr nett på en brukervennlig måte, samtidig som tilbudet er frikoblet fra din brukerprofil, mener sikkerhetsrådgiver Per Thorsheim. Bilde: Marius Jørgenrud

Dette argumentet kjøper ikke IT-sikkerhetsrådgiver Per Thorsheim, som nylig sluttet i Evry for å drive enkeltmannsfirmaet God Praksis.

- Jeg undres over hvordan NSB har tenkt, eller ikke tenkt, når de utformet nåværende løsning, sier Thorsheim til digi.no.

Han viser til Avinor som eksempel. På flyplassen kan nettaksess bestilles én time av gangen ved å skrive inn mobilnummer og motta en tekstmelding.

- Der er tilgang til internett helt frikoblet fra brukerprofil forøvrig, samtidig som løsningen åpner for granskning fra Avinor/politiet ved «hacking» eller annen uønsket aktivitet, påpeker Thorsheim.

Bytter løsning

NSB sier at de jobber med å «få på plass alternative løsninger for innlogging som gjør at man kan velge hvilken innlogging man ønsker».

- Da blir det mulig å lage brukernavn og passord på nytt frikoblet fra alle andre systemer. Vi vil gi muligheten for å ha et brukernavn og passord som kun er knyttet til NSB Interaktiv og løsningen er klar og under uttesting innen kort tid.

- Er det virkelig akseptabelt at man på en enkel måte nå kan få tak i kredittkortdata fra NSBs kunder?

- Svindel av denne type er ikke mer akseptabelt enn annen svindel. Det at det teknisk er mulig å lure folk gjør det ikke lovlig eller akseptabelt på noen måte, sier Mai-Bente Paulsen.

Videre sier hun at de ikke har noen indikasjoner eller historier som tilsier at metoden har vært brukt før.

- Men en artikkel om saken kan selvsagt lett endre på det. Som sagt er NSB i ferd med å endre den teknologiske løsningen for pålogging, sier Paulsen til digi.no

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.