TV-program bestilte hackerangrep mot tysk bank

Hackere hyrt av et TV-program avslørte elendig sikkerhet i tyske HypoVereinsbank. Banken hyler høyt om lovbrudd, men lar ukene gå uten noen anmeldelse.

Forbrukerprogrammet Ratgeber Technik ("teknisk rådgiver") til allmennkringkasteren ARD hyrte i august inn fire unge hackere som nettopp hadde gått sammen om å opprette et konsulentfirma.

Oppdraget gikk ut på å prøve å bryte seg inn i nettbanktjenerne til HypoVereinsbank.

Tjenerne ble kjørt under Microsoft-programvare, og banken hadde ikke fulgt opp på sikkerhetssiden. Etter et par dager hadde hackerne informasjon som de kunne ha brukt til å tappe bankens kunder for mange millioner mark, blant annet kundenavn, kontonummer, PIN-koder og IP-adresser.

Oppdraget ble klarert med ARDs juridiske avdeling som mener at tysk lov beskytter ellers ulovlige metoder når de brukes i undersøkende journalistikk til å fremme offentlighetens interesser.

Ratgeber Technik har brukt denne hjemmelen en rekke ganger, og aldri tapt en rettssak, opplyser den hovedansvarlige for programmet gjennom 27 år, Bernd Leptihn, til nyhetstjenesten Newsbytes.

Banken merket ingenting til innbruddene og informasjonssankingen, og ble tatt på senga da programmet ble sendt søndag kveld 16. september i år. Daglig leder for det nystiftede konsulentselskapet Multimedia Network Systems, 22 år gamle Stephan Weide, sto fram med dokumentasjonen på den dårlige sikkerheten i HypoVereinsbank, en av Tysklands største.

Straks etter sendingen sørget ARD for å arrangere en telefonkonferanse der Weide og hans medarbeidere skritt for skritt veiledet teknikerne i HypoVereinsbank i hvordan de skulle tette de avslørte sikkerhetshullene.

Nettbanken var nede under og etter sendingen. Bankens forklaring er at dette skyldtes vanlig vedlikehold, ikke tetting av sikkerhetshull som følge av avsløringen på TV.


Banken hevdet også at nettjenesten ble sikkerhetsmessig oppgradert før innbruddet, men at det gamle og det nye nettstedet ble kjørt parallelt noen uker. Banken mente hackerne brøt seg gjennom sperringene i den ikke-oppgraderte delen av tjenesten. Den har ikke forklart hvorfor den mente det var forsvarlig å la en usikret tjeneste kjøres parallelt med den sikrede.

Leptihn avviser bankens forklaring. Han forteller at Weide og hans medarbeidere prøvde seg igjen på det nye nettstedet, og lyktes i å trenge gjennom de "avanserte sikkerhetssperringene".

Banken truet straks med både politianmeldelse og sivilt søksmål. Etter flere uker har den ikke gjort annet enn å få rettens medhold i at dokumentasjonen som ARD besitter, må tilbakeleveres. Til Newsbytes sier banken at hackingen var klart ulovlig og at de er veldig sinte. Den har ennå ikke bestemt seg for verken sivilt søksmål eller politianmeldelse.

Leptihn hevdet at programredaksjon ville beholde materialet for å kunne dokumentere bankens skjødesløshet for ettertiden.

Til toppen