lördag, januari 05, 2008

Vuxna förbannade hackare

Hackerattacken mot Aftonbladet är sannolikt mycket allvarligare än som först anats. I morse trappade hackergruppen VFH upp, genom att publicera internkommunikation från tidningens it-avdelning - kommunikation som uppges visa att Aftonbladet känt till omfattningen av dataintrången i ett och ett halvt år, men misslyckats att återupprätta säkerheten och undlåtit att informera dem som kunnat drabbas (och som nu drabbas, i och med att deras inloggningsuppgifter sprids öppet).

Ett inlägg på Flashback summerar allvaret:

"Aftonbladet har alltså fått sitt annonssystem hackat sommaren 2006 och har inte fixat till luckorna, som jag förstår det, och sedan har dom fått sitt intranät hackat med följd att samma lösenord kan användas till att logga in på deras mail som i sin tur är grundlagsskyddad.

Det borde medföra ett större pådrag enligt mig."
Konsekvenser?

Många stora företag som har relationer med Aftonbladet har fått sin säkerhet komprometterad. Det är inte otänkbart att de kommer att tycka att tidningen har ett ekonomiskt ansvar för detta, och att de dessutom framgent kommer att tänka lite extra innan de samarbetar med tidningen. Många privatpersoner som lämnat uppgifter till Aftonbladets reportrar - ibland kanske med risk för liv och karriär - bör rimligen vara väldigt rädda just nu, för att uppgifterna kan ha kommit på vift. Uppgiftslämnare kommer att tveka att gå till Aftonbladet.

Rimligen borde ett par it- och säkerhetschefer bli av med jobbet.

Men det är större än så. Det är inte bara Aftonbladet och dess närstående företag som drabbas av penning- och trovärdighetsförluster.

Bara genom att läsa en tråd på Flashback har jag nu fått ta del av åtskilliga reportrars lösenord. Inloggningsuppgifter som ibland, av dumhet, används på flera ställen, inte bara inom tidningen. Och kan jag kan andra. Mycket känsliga uppgifter kan ha grävts fram under de senaste dygnen, då uppgifterna varit enkelt tillgängliga. I synnerhet kriminaljournalister kan sitta på oerhört känslig information, som ytterst farliga personer väldigt gärna vill ha. Vidare är journalister gifta med varandra. Nu när jag vet boktipsaren Inga-Lill Mosanders kärleksfulla lösenord, hur långt kan det ta mig? Kan jag få access till familjen Mosanders hemdator? Kan jag därur hämta Janne Mosanders garanterat känsliga uppgifter? Jag vet inte, det är bara ett exempel i mängden.

Jargongen på Flashbacks forum är intressant. Alla hatar Aftonbladet, och tycker att hackargruppen har gjort rätt. Att Aftonbladet får skylla sig själva. Så här låter det ofta när mäktiga angrips, men det hindrar inte att den moraliska logiken bakom resonemanget är helt felaktig. Förövaren är skyldig till brottet. Punkt.

Men vi måste också fråga oss om de säkerhetssystem som byggts varit tillräckliga. Och här tycks det uppenbart att Aftonbladet nonchalerat hoten, och därmed tillfogat hela journalistkåren och hela institutionen meddelarskydd en ofattbart stor skada. Om det ligger sanning i påståendena från VFH.

Det här är mycket större än det sett ut. Läs Kristofer, RST Video, IDG och de olika trådarna i Flashbacks Datasäkerhetsforum förstås.

Alla läsare uppmanas att byta lösenord. Ofta.

Uppdatering:

Aftonbladets utspel är snyggt, men töntigt rubriksatt.
I går bevisade VFH att våra värsta farhågor var sanna: de har tagit sig långt in i våra system. I praktiken var materialet hackarna publicerade i går ett angrepp mot våra annonskunder. Det betyder att de är inne på domäner som ytterst rör Aftonbladets vd Carl Gyllfors och jag ska inte mer orda om det.

Men VFH:s nya uppgifter visar ytterligare en sak: De kan nu ha tillgång till information som är källskyddad enligt svensk grundlag. På ren svenska: journalisters kontakter med källor. Det är vårt allra heligaste.

I den stund Vuxna Förbannade Hackare skulle få för sig att sprida sådan information riktar sig deras attack inte längre mot Aftonbladet.

Då är det dig som medborgare VFH ger sig på. Din rätt att vara skyddad som källa om du vänder dig till en journalist för att få en orättvisa eller oförrätt granskad.
Det är snygg kommunikation. Hackarna ger sig på folket och demokratin, tidningen har gjort sitt bästa för säkerheten, systemen kan aldrig bli helt täta.

Men man kommenterar så klart inte det som är den riktigt allvarliga egna tabben. Igår, skriver Aftonbladet, men mejlkommunikationen som offentliggjorts visar motsatsen. Att man på ett och ett halvt år, om man får tro hackarna, inte lyckats bearbeta säkerhetshålen. Men det har ju läsarna ingen aning om, så som krishanterare får Jan Helin klart godkänt - såvida inte branschtidningarna sätter åt honom i veckan och höjer trycket i frågan.

Det vore intressant att veta vilken byrå som hjälpt till med kommunikationen.