Attack mot Tietoevry. Filmstaden, Rusta, Granngården, Systembolaget drabbade [2024-01-20]

Många som pratar Vmware, hur vet vi att dom inte kör Hyper-V?

Jobbar inom it, devops, varit med om några krascher som inte gått att lösa utan backups & att sätta upp servrar helt från grunden(ny raid, ny ominstallation med hypervisor -> återställa alla vms -> dockers).

Andra småsaker som tar tid är att vara helt säker på vilken nätverkskabel som är inkopplad i NIC X på server Y. Framförallt om man inte har tillgång till den fysisikt.

Senast jag(tsm med andra) återställde något (allt från scratch, runt 100 servers) så tog det 3 dagar. Och då var det bara för oss och vi hostade inga lösningar för andra kunder frånsett något API.

Jag kan definitivt se att detta tar 1-2 veckor för att få igång alla kunder.

Har ju tidigare i tråden visats att Tieto inte hade tagit i decembers critical uppdatering.. Sen är ju frågan: Hur ska kund ställa sina krav? Hur många timmar ska det gå innan uppdaterat? Skillnad på hur många timmar det får gå på en cva 9.1 eller 9.5? Hur kan kund följa upp detta? Vilken kompetens finns på Granngården för att följa upp detta?

Va kostar det när de tagit 24 timmar och inte uppdaterat en cva 9.1 och ingen blivit drabbad vs blivit drabbad? Kan gravbeställare hos Norsjö kommun följa upp detta utan att vara större expert än de som driftar skiten?

Sen tycker jag det borde uppföljas men svårt att veta hur. Ända sättet tror jag är att säga: Om skit sker på grund av olika omständigheter ja då Fa* ska det kosta!

Nu är det som att kunderna ska skydda goodwill för det företag som ”orsakat” det.. Men det är svensk logik

Själv hade jag stämt det företaget. Tagit betalt för varje extratimme det genererat, meddelat varje person som blivit drabbad och hjälpt dessa att få upprättelse. Vem kommer TietoEvry betala till om patienters data hamnat på vift? När patienter senare blir utpressade så kommer vem stå för den kostnaden?

Underbart att vi alla ska hjälpa dessa företag som egentligen inte bryr sig ett skit om ens journal hamnar på ”mörka internet”

Tyvärr så stämmer inte alltid denna logik gällande ansvar, nu säger inte jag att det INTE är så i detta fallet utan mer generellt. Det finns lite olika molnlösningar med olika ansvarsområden. Det är alltså inte alltid leverantörens ansvar att data läcker/förvanskas lite beroende på hur attacken gick till.

https://www.advania.se/blogg/vad-ar-iaas-paas-och-saas

Har dina personuppgifter kommit på vift kan man faktiskt anmäla detta. Inte bara till Integritetsskyddsmyndigheten (IMY) men du kan faktiskt ta detta till domstol och söka skadestånd om du inte informerats om detta inom 72 timmar efter att intrånget upptäcktes.

Har du som privatperson inte blivit informerad om dataläckan från den personuppgiftsansvarige senast 72 timmar efter att de fick reda på dataintrånget, så har de brytit mot GDPR. Det spelar ingen roll om de inte kunde veta vilken omfattning dataintrånget hade eller om de inte visste om någon utomstående fått tag i dina personuppgifter. GDPR finns av en anledning och det är för att skydda dig samt bötfälla företag som hanterar personuppgifter fel eller som inte informerar dig om dessa typer av incidenter.

Har företaget du är kund hos hanterat säkerheten på ett såpass dåligt sätt att de inte kunnat garantera att dina personuppgifter är säkra, så har du rätt till ytterligare skadestånd. Det sämsta man kan göra är att endast rapportera detta till IMY eftersom du inte kommer få något skadestånd av dem, utan du måste själv rapportera detta.

Nu kan kunder till dessa företag vänta och se om det kommer upp någon ny dataläcka som innehåller deras personuppgifter. Det gäller all typ av data som kan kopplas till dig som person.

Du kan även kontakta företagen/myndigheterna som ansvarar för dina personuppgifter och be om skadestånd direkt från dem, utan att ta det i domstol. På så vis behöver det inte bli en rättsprocess av det. Vägrar de att betala ut skadestånd kan du ta det i domstol. Spara tid och datum då dataintrånget skedde (nu vet vi på ett ungefär när det var, enligt TietoEvry) och tidpunkter då företaget eventuellt informerade dig om det.

Se nu till att söka skadestånd - om det visar sig att dina personuppgifter blev stulna. Genom att inte ansöka om skadestånd så tillåter du detta att fortsätta. Signalera att det inte är OK att detta skett.

Har dina personuppgifter från flera företag/myndigheter hamnat på vift kan du söka skadestånd hos varje enskild part. T.ex. om du är kund hos Stadium och Filmstaden, så kan du få skadestånd från båda två.

Just nu vid detta skede kan man inte bevisa att några personuppgifter blivit bestulna. Så man får vänta på att en eventuell dataläcka publiceras, exempelvis på darkweb. Nu har det dock passerat 72 timmar sedan intrånget skedde. Personligen är jag kund hos en av företagen som blev drabbade och de har inte kontaktat mig. Likt de flesta blev jag informerad av detta via media istället. Inte OK! Visar det sig att mina uppgifter läckt, då blir det en amälan från mitt håll.

/b#r0n

Det är ju svårt att veta vad som har läckt ut om du inte har tillgång till det. Om vi leker med tanken att Granngårdens kundregister är på vift, och att någon utomstående skulle kunna få reda på att Anders Persson i Svartå har köpt ett par gummistövlar, så är det ju svårt för Granngården att meddela Anders Persson detta, eller hur? Jag tror knappast att de har någon anställd som har memorerat kundregistret.

Nu kan man förstås bara spekulera eftersom det inte finns någon officiell version av vad som har hänt i den här härvan. Den enda drabbade som har berättat mer ingående vad som har hänt är ju Vellinge kommun, vars IT-chef säger att det som har krypterats inte kan återskapas eftersom även backuperna är krypterade. (Lysande backupstrategi.)

Att det skulle vara ett tvång enligt GDPR att informera personer som man inte vet vilka de är, det har du förstås bara hittat på.

Vilken artikel stipulerar detta ?

Jag hittar bara 2st som gäller 72 timmar och det är anmälan till berörd myndighet.

"Skäl 85
Recital 85
(85) En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen.

Så snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personuppgiftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i enlighet med ansvarsprincipen, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter.

Om en sådan anmälan inte kan ske inom 72 timmar, bör skälen till fördröjningen åtfölja anmälan och information får lämnas i omgångar utan otillbörligt vidare dröjsmål."



"Artikel 33 GDPR. Anmälan av en personuppgiftsincident till tillsynsmyndigheten
1. Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen."

Du har fel. Anmälan ska ske till IMY inom 72h. Du som offer behöver först informeras inom 30 dagar.

Mer info större delen av backupen är krypterad, de har svårt att återställa data sucks to be them.

Det går rykten om att hackarna har varit inne i systemen ett bra tag och förberett detta noga.

Handlade på Rusta idag och han i kassan sa att dom inte kan registrera medlemskap, extrapriser eller liknande. Alla rabatter slog han in manuellt utan att ens kolla att människorna faktiskt var medlemmar.
Dom hade ”problem med kassasystem och teknik” sa han.

Anledning de skriver om VMware är väl för att den hade en bug i sig, så de gissar väl att de kom in igenom admin VPN, de kunde hacka sig vidare in på Vmware och kryptera storage.

Nu har inte jag jobbat med VMware på många år. Men vi körde då inge lokal raid på servrar. Utan man använde sig av SD card på server. Sen använder man sig av Autodeploy igenom Vsphere, så alla esx får samma konfig, du har då en standard för alla servrar, du behöver inte sitta och konfa varje esx box med nätverks inställningar med mera.

Efter en attack, om man har snapshot backuper, så måste varje server tvättas, då man inte vet om det kan finnas något gömt, tex om de hittar i loggen att någon varit inne i miljön 2 månader tillbaka, så räknas allt tillbaka i 2mån som osäkert, så man kan inte bara slå läsa tillbaka en snapshot ifrån dagen före attacken, och sen inte göra något mer. Har man 5000 servrar så blir det mycket jobb att sitta och gå igenom varje box.

Risken är då att de finns någon remote shell lösning så de kan få access igen. Det har hänt flera gånger att dessa hackers har kommit tillbaka efter några månader och gjort samma sak igen.

Jupp det är så det många gånger går till. Gain access och lura där och kolla miljön i detalj och efter det gå till attack.

Personuppgifter, alla sådana är offentliga i Sverige.

Bio, Rusta, och granngården är väl inte någon kris att inte kan betala hos, men systembolaget däremot...

Är inte ens helt på skämt. Helalkoholister dör utan det, och sen alla upp till den gränsen blir i olika grad på dåligt humör.

Otroligt att det inte finns någon cash-only backup.
Såg en artikel om en specifik biograf fick hyllningar över att ha en backup, tog fram gamla pappers-biljetter från 10 år sedan. Absolut cred till han, men patetiskt tragiskt att det faktiskt är behyllningsvärt. Det skal standard och common sense hos samtliga.

Nästan så jag tycker detta var en bra attack. En whitehat pen-tester av svenska samhället.