Den britiske teleoperatøren Talk Talk, med mer enn 4 millioner kunder, fortalte nylig om et datainnbrudd hvor kundeinformasjon, og trolig kredittkortinformasjon, var blitt stjålet av ukjente personer. Slik informasjon selges til andre kriminelle som bruker informasjonen til å begå ID-tyveri, svindel og annen økonomisk kriminalitet.
Datainnbruddet startet med et vedvarende tjenestenekt-angrep (DDOS) mot sine systemer. Samtidig utnyttet angriperne en databasesårbarhet, og fikk på den måten infiltrert Talk Talks interne systemer. Så mange som 400.000 personer kan ha fått informasjon om navn, adresse, fødselsdato, telefonnummer, epostadresser og bank- eller kredittkort på avveie.
I etterkant av angrepet ble administrerende direktør i Talk Talk, Dido Harding, oppringt fra det som skulle være gjerningspersonen bak datainnbruddet. Vedkommende krevde over 1 million (£80.000) for ikke å publisere informasjonen på nettet.
Politiet har nå arrestert og siktet en 15 år gammel gutt i Nord-Irland og en 16 år gammel gutt i London for datainnbruddet, og saken er fremdeles under etterforsking.
Denne saken har flere sider ved seg som det er verdt å legge merke til:
Det er interessant å se at Talk Talk valgte en åpenhetslinje omkring hendelsen. Dido Harding var raskt ute med informasjon om hva som hadde skjedd, og har gjort seg tilgjengelig for pressen gjennom håndteringen av saken. Mange bedrifter vil nok vegre seg for å fortelle om hendelser, i frykt for at det vil gå ut over kundenes tillit til selskapet. Faren med en slik tilnærming kan naturligvis være at kundene undervurderes, og at hemmelighold (sannheten vil jo komme ut før eller senere) skader tilliten mer enn åpenhet ville gjort. Vi er alle digitale innbyggere, og vi vet at hendelser som dette dessverre kan skje. Å være ærlig om hva som har skjedd og å vise handlekraft i håndteringen kan være tillitsskapende. Fremtiden vil vise om Talk Talk kommer styrket ut av episoden.
Tjenestenekt-angrepet var trolig en avledingsmanøver for å skjule selve datainnbruddet. Tjenestenekt-angrep vil av naturlige grunner ta mye oppmerksomhet i IT- og sikkerhetsavdelingen, og de store datamengdene bidrar til at selve datainnbruddet kan bli vanskeligere å oppdage. At kriminelle velger en slik taktikk bør IT- og sikkerhetsavdelingene legge merke til, og øke sin årvåkenhet mot andre typer angrep som kan skje samtidig.
Fra tidligere liknende hendelser vet vi at gjerningspersonene har solgt informasjonen de har fått tak i. Kredittkort har vært solgt for ca $1 i «det sorte markedet». Nå tyder mye på at dette ikke er like lønnsomt for de kriminelle. Om dette skyldes at politimyndighetene i flere land har gått til aksjon mot nettsteder for salg av denne type informasjon kan vi ikke slå fast, men det er et faktum at gjerningsmennene i dette tilfellet valgte en tradisjonell utpressing mot selskapet. Norske selskaper bør ta slike hendelser inn i sin beredskapsplanlegging.