Kapret kundedata ved å avlytte WLAN

Avlytting av WLAN i en butikkjede ga hackere tilgang til 45 millioner kundekontoer.

Kanadiske myndigheter har avsluttet etterforskningen av det som antakelig er verdens største av tyveri av følsomme personopplysninger.

Tyveriet gjelder 45,7 millioner kundekontoer i TJX som driver til sammen 2500 butikker i USA, Canada og andre land. Blant opplysningene hackerne har fått tilgang til, er personnavn, bankkontoer og nummer på kreditt- og betalingskort. Tappingen av personopplysninger foregikk i halvannet år før TJX fattet mistanke.

Kreditt- og betalingskortselskapene har nektet å oppgi hvor mange brukere er blitt svindlet, og hvor mye de er svindlet for. Men det er på det rene at kunder har opplevd omfattende misbruk fordelt på svært mange land.

Etterforskerne er kommet fram til at tyveriene kan føres tilbake til avlytting av WLAN-forbindelser i TJX-butikker i Miami i Florida. De trådløse datanettverkene ble brukt til å kople butikkenes kasseapparater til servere i det sentrale datasystemet.

Avlyttingen av TJXs WLAN i Miami skal ha foregått i juli 2005, ifølge de kanadiske etterforskerne. WLAN-et var ikke åpent, men beskyttet av den eldre standarden WEP, som sikkerhetseksperter advarte mot svært tidlig på 2000-tallet, fordi den er forholdsvis enkelt å knekke.

I påvente av at standardiseringsorganet IEEE ferdigstilte en bedre standard, anbefalte bransjeorganisasjonen for tilbydere av WLAN-utstyr, Wi-Fi Alliance i 2002 en mellomløsning, WPA. Den endelige versjonen av WPA ble vedtatt av IEEE i juni 2004.

WPA er ikke bare langt vanskeligere å avlytte enn WEP, den har også brukerautentisering på et helt annet nivå. Allerede i 2002 het det at kyndige avlyttere kunne knekke krypteringen i WEP etter bare å ha fanget opp signaler fra den trådløse forbindelsen en times tid, blant annet fordi krypteringsnøkkelen er den samme hele tiden. I WPA byttes krypteringsnøkkelen så hyppig at denne metoden ikke fører fram.

Da innbruddet fant sted i juli 2005, hadde altså TJX i over tre år trosset alle råd fra både utstyrsleverandører og eksperter innen IT-sikkerhet om at det var påkrevet å bytte fra WEP til WPA dersom man skulle bruke et WLAN til å overføre følsomme opplysninger.

TJX begikk en mengde andre feil.

Det for eksempel tok halvannet år før de oppdaget at noe var galt: Først i desember 2006 la de merke til «mistenkelig programvare» i sine datasystemer. I mars i år måtte de innrømme at uvedkommende hadde hatt fri adgang til personopplysninger til minst 45,7 millioner kunder.

De kanadiske etterforskerne peker også på at TJX samlet på for mange personopplysninger over for lange tidsperioder, i noen tilfeller flere år utover den lovpålagte grensen.

Saken etterforskes fortsatt i USA. Ti personer er hittil dømt for å ha vært med på en svindel der stjålne kundedata ble brukt til å kjøpe gavekort. Ingen av disse skal ha vært innblandet i selve datainnbruddet.

En ukrainer som ble arrestert i Tyrkia mistenkes for å ha solgt identiteter fra innbruddet mot TJX. Heller ikke han skal ha deltatt i kapringen.

Den kanadiske etterforskningen skal først og fremst ha hatt til hensikt å tvinge TJX til å innføre bedre sikkerhet og rutiner i samsvar med kanadisk personvernlovgivning. Fordi selskapet har samarbeidet med myndighetene, vil etterforskningen ikke føre til tiltale.

    Les også:

Til toppen