Kunderne hos HOFOR har fået en kedelig besked i indbakken. En intern gennemgang har nemlig afsløret et kritisk hul i selskabets it-systemer, som potentielt har givet it-kriminelle adgang til personlige oplysninger på en stor del af de over en million kunder.
Hver femte kunde kan være ramt
Det er ikke småting, der er tale om. HOFOR vurderer selv, at en betydelig del af deres database har ligget åben for dem, der vidste, hvordan de skulle udnytte fejlen. Problemet findes i login-processen på selskabets selvbetjeningsløsning, Tastselv Service.
Områdechef i HOFOR, Ditte Bergholdt Asmussen, forklarer situationen i en e-mail til Ritzau:
“Det er HOFORs vurdering, at potentielt 20 procent af vores kundekonti kan være berørt af en sårbarhed på vores login med et kundenummer i kombination med et såkaldt BS-kundenummer, som giver adgang til vores selvbetjeningsløsning.”
Fejlen var i al sin enkelhed, at man bare kunne ændre på tallene i kundenummeret og det tilhørende BS-nummer for at skaffe sig adgang til andre folks konti. Det krævede altså ikke avancerede hacking-værktøjer, men blot en simpel leg med de tal, man taster ind ved login.
Disse oplysninger er i fare
Hvis en uvedkommende først var logget ind på en andens profil, var der adgang til en lang række private data. Ifølge HOFOR drejer det sig om:
- Navn og adresse
- E-mailadresse og telefonnummer
- Fødselsdato
- Fakturaer og detaljerede tal for forbrug af vand, varme, bygas og fjernkøling
Selvom listen over potentielt lækkede data er lang, er de mest kritiske oplysninger dog ikke i fare. Forsyningsselskabet understreger, at hverken CPR-numre, bankoplysninger eller kreditkortdata har været tilgængelige via dette sikkerhedshul. De oplysninger ligger nemlig i separate systemer, som ikke er ramt af fejlen.
Sikkerhedshul har eksisteret siden 2014
Det mest opsigtsvækkende ved sagen er dog, hvor længe fejlen har eksisteret. HOFOR opdagede først hullet under en gennemgang den 30. marts, men selskabet kan ikke sige med sikkerhed, hvor længe døren har stået på klem. Den pågældende login-løsning har nemlig været i brug i næsten ti år.
“Det kan således ikke udelukkes, at for eksempel andre kunder eller ondsindede aktører potentielt kan have fået adgang til dine kundeoplysninger,” skriver HOFOR direkte til kunderne.
Da fejlen blev opdaget, lukkede selskabet straks for muligheden for at logge ind med kundenummer og BS-nummer. Det betyder, at kunderne i en periode ikke har kunnet se deres oplysninger på den måde, mens it-afdelingen arbejder på en nødvendig sikkerhedsopdatering.
Advarsel om phishing og falske mails
Selvom bankoplysningerne ikke er lækket, kan de stjålne informationer stadig bruges til målrettet svindel. HOFOR advarer nu deres kunder om at være ekstra opmærksomme på mistænkelige henvendelser. Med adgang til både navn, adresse og forbrugsdata kan it-kriminelle nemlig strikke meget overbevisende svindelnumre sammen.
De falske mails kan ligne officielle beskeder fra HOFOR på en prik. Typisk vil de forsøge at lokke modtageren til at udlevere kortoplysninger under påskud af for eksempel en ubetalt regning eller penge, man har til gode.
HOFOR regner med, at en ny og mere sikker login-proces er klar i midten af maj. Her indfører man ekstra sikkerhedskontrol for de brugere, der ikke bruger MitID, så man fremover undgår, at en simpel ændring i et kundenummer kan give adgang til naboens private data.