Svakt IT-system gjorde større skade enn hackeren

Med dårlige logger i nettbutikken Egghead.com tok det uker å fastslå at kunderegisteret ikke var kompromittert etter et datainnbrudd. Imens måtte 3,7 millioner kunder få nye bankkort.

Egghead.com er en amerikansk nettbutikk som i hovedsak selger IT- og kontorutstyr til små og mellomstore bedrifter. Selskapet hadde i 1999 en omsetning på over 500 millioner dollar og er notert på Nasdaq. Høsten 1998 gikk aksjen for over 90 dollar, i dag får du den for 75 cents.

Det er ikke bare børsen som er svak hos Egghead. Det samme gjelder IT-systemene.

Ifølge offisielle redegjørelser fra toppsjef Jeff Sheahan til amerikansk presse, merket selskapets IT-sjef 18. desember 2000 at uvedkommende hadde snoket i datasystemet. Etter tre dager, var IT-sjefen fortsatt ikke i stand til å analysere innbruddet. Sheahan varslet betalingssystempartnerne 21. desember og leide inn uavhengige sikkerhetskonsulenter. Dagen etter ble kundene og offentligheten fortalt at en fullstendig rapport om innbruddet ville være klar innen fem dager.

Resultatene av rapporten ble meddelt kundene per e-post 8. januar 2001, altså tre uker etter at innbruddet var oppdaget. Her het det at undersøkelsen av innbruddstilfellet "har avdekket tegn som tyder på at de eksisterende sikkerhetssystemene til Egghead.com avbrøt innbruddsforsøket mens det pågikk, og at kundeopplysninger er ikke kompromittert."

Sikkerhetseksperter uttaler til amerikanske medier at tiden det tok å fastslå dette, tyder på at logger og overvåkningssystemer hos Egghead må ha vært svært mangelfulle. Med hensiktsmessige verktøy, ville det maksimalt tatt noen få dager å fastslå om kunderegistrene hadde lekket eller ikke.

Finansinstitusjonene som fikk listene over kunder med potensielt kompromitterte bank- og kredittkort tre dager etter innbruddet, kunne ikke ta sjansen på å vente på den endelige rapporten. Providian, Citibank, First USA og en rekke andre inndro kortene, og startet, midt i juleforberedelsene, en nitid prosess med å erstatte anslagsvis 3,7 millioner kort.

Å inndra et kredittkort og erstatte det med et annet skal under normale forhold koste mellom to og fem dollar. Det betyr at den samlede operasjonen for å erstatte kortene til alle Egghead-kundene kan ha kostet 13 millioner dollar eller nærmere 130 millioner kroner. Sannsynligvis er den virkelige skaden enda større. På grunn av julestria, forteller en (anonym) bank, måtte mannskapet jobbe to netter med overtid. I tillegg kommer belastningen på kundene, som plutselig sto uten sine kort på et tidspunkt da kjøpe- og betalingsbehovet er akutt.

Det ble oppdaget 7500 tilfeller av svindel på de 3,7 millioner kortene som ble inndratt. Disse tilskrives andre forhold enn datainnbruddet mot Egghead.

Sheahan fortalte i sin e-post mandag at Egghead "har tatt ytterligere skritt for å minske risikoen for framtidige tilfeller, ved å fortsette å styrke våre sikkerhetstiltak."

Refleksjonene gjør seg selv: Et utilstrekkelig beskyttet IT-system blir ekstra sårbart når det står uten overvåking og uten logger, slik at ingen kan følge en snok selv når denne tas på fersken. Kostnadene innbruddet medførte - de kan regnes i prosenter av Eggheads årsomsetning - skyldes ikke selve snoken, med nødvendige tiltak som måtte settes i verk som følge av iboende svakheter ved e-butikkens IT-system.

Egghead er en stor og etablert e-butikk innen "business to business", med klarerte grensesnitt mot betalingssystemer til kjente aktører innen bank og finans, slike som gjerne avfeier tvil om systemsikkerheten med erklæringer om at vi må tro dem når de sier at alt er vel. Tilfellet viser at de er villige til å ta svært stor risiko, heller enn å kreve at nettbutikkene hever sin samlede sikkerhet til det nivået de selv lar utenforstående - og nettbutikkenes kunder - oppfatte som helt selvfølgelig.

Et fysisk "sikringssystem" der man må bruke tre uker på å analysere fingeravtrykk og liknende spor for å fastslå om en innbruddstyv har tatt noe eller ikke, framstår som fullstendig utenkelig. Men tilfellet Egghead viser at dette er nivået som banker og seriøse nettbutikker legger seg på - helt til de blir tatt med buksa nede.

Til toppen