Informasjon om tusener av flyktninger kan enkelt komme på avveie, mener IT-selskapet Mautinoa, som tok seg inn i konkurrentens servere. FOTO: UN Photo.

Avdekket alvorlig sikkerhetsbrist i IT-systemet Flyktninghjelpen bruker

– Hvis vi klarer det, klarer et undertrykkende regime det også, sier Emerson Tan. Selskapet hans lastet ned navn, bilde og posisjon til tusenvis av flyktninger.

Av Martin Skjæraasen Sist oppdatert: 11.01.2018 07.34.50

I november søkte Flyktninghjelpen etter leverandør av et system for digitale pengeoverføringer til flyktninger. Blant tilbyderne var RedRose og Mautinoa Technologies, to IT-selskaper basert i henholdsvis Storbritannia og Tyrkia, og USA.

Noen dager etter at anbudsrunden var i gang, kunne IRIN News og Devex melde at Mautinoa hadde sendt ut en oppsiktsvekkende advarsel. Selskapet hadde klart å skaffe seg tilgang til store mengder personopplysninger fra en av RedRoses kunder; hjelpeorganisasjonen Catholic Relief Services (CRS). 

For å undersøke konkurrentens produkt, hadde Mautinoa lastet ned RedRose-appen, som lå tilgjengelig på nett. I programvaren fant selskapet informasjon som gjorde det mulig å komme seg inn på et av Catholic Relief Services prosjekter i Vest-Afrika. 

Blant annet passord og brukernavn til systemet, som det viste seg at CRS ikke hadde endret. Både passord og brukernavn var fortsatt "redrose". 

I databasen fant Mautinoa profilbilder, familiedetaljer og PIN-koder til flere tusen flyktninger som mottar pengestøtte fra CRS i Vest-Afrika. Datamaterialet inneholdt til og med mottakerens nøyaktige posisjon.

– Da vi oppdaget dette, stoppet vi umiddelbart og sendte en advarsel til RedRose og kundene deres, forteller daglig leder i Mautinoa, Emerson Tan, til Bistandsaktuelt.

 

 

– Enkelthendelse

RedRose avviser kritikken og anklager konkurrenten for ”ulovlig, uetisk, hensynsløs og ondsinnet” adferd. I en epost til Bistandsaktuelt bedyrer selskapet at hendelsen er enkeltstående og utelukkende skyldes slurv med passord og brukernavn.

Mautinoa hevder derimot at problemet er systemisk og skyldes måten programvaren er bygget på. Ifølge Tan kunne de enkelt ha kommet seg inn i systemet til alle kundene, også Flyktninghjelpen, selv uten passord og brukernavn. 

– Men vi ønsker ikke å drive med ulovlig hacking, og vi vil ikke risikere å ødelegge noe i RedRoses systemer. Isteden blåste vi i fløyta, forklarer Emerson Tan, som har jobbet med datasikkerhet i over 20 år. 

Ifølge Mautinoa-sjefen er faren at aktører med større budsjett, mer ekspertise og mørkere hensikter får tak i detaljert informasjon om mennesker de i verste fall anser som fiender. Systemet er i drift i land som Sør-Sudan, Kongo, Irak og Syria.

– Assad-regimet bryr seg ikke om juridiske detaljer og har dessuten mer tid enn ettermiddagen vi brukte på å finne denne informasjonen. Selv om mine kolleger er erfarne, har disse regimene og deres allierte sannsynligvis mye dyktigere folk.

 

Reell fare for liv og helse

Den erfarne sikkerhetsrådgiveren Per Thorsheim mener Mautinoa har gått langt over streken ved å bryte seg inn i konkurrentens server midt i en anbudsrunde. Men etter å ha studert Mautinoas egen rapport om hendelsen, slutter han seg samtidig til selskapets konklusjon.

For drevne hackere er det fullt mulig å få tak i personopplysninger fra RedRoses servere, forklarer en bekymret Thorsheim.        

– Dette er så alvorlig at det kan være reell fare for liv og helse. Nordmenn kan nok ikke forestille seg konsekvensene av dette.

Bortsett fra svakheter i systemet, mener han RedRoses valg av standard passord og brukernavn, og at disse attpåtil var like, vitner om svært dårlig sikkerhetsforståelse.

– I Norge finnes det mennesker som har fått nytt navn, adresse og telefonnummer etter trusler og familievoldssaker. Tenk deg at NAV lager en ny app, hvor informasjon om og bilder av disse menneskene ligger lagret. Så legges den ut på nettet med standard brukernavn ”NAV” og passord ”NAV”. Det er på det nivået der, sier Thorshaug.

Sikkerhetsekspert Seth Hardy, som Devex har intervjuet, kommer til samme slutning. ”Dette er ikke en enkeltstående feil, den følger av manglende sikkerhetsforståelse i alle RedRoses systemer”, sier Hardy til nettstedet.

 

Stoppet all bruk

Flere organisasjoner, deriblant CARE og Oxfam, stengte umiddelbart sine RedRose-systemer da Mautinoa advarte dem. Det gjorde også Flyktninghjelpen, som frøs tjenesten sin i 24 timer. Men samtlige har åpnet driften igjen.  

– Etter nøye analyse av hele økosystemet rundt RedRose, samt risikokartlegging i samarbeid med våre kolleger i felt, kom vi frem til at vår bruk av RedRose er trygg. Dermed gjenåpnet vi bruken av tjenesten, forklarer leder i Flyktninghjelpens medieseksjon, Tuva Raanes Bogsnes.

Den norske organisasjonen er ikke den eneste som bruker systemene til RedRose. Selskapet et av de største i en bransje i kraftig vekst. Ifølge en rapport fra Overseas Development Institute utgjorde pengeoverføringer til enkeltpersoner og familier 6 prosent av all humanitær bistand i 2015, opp fra 1 prosent i 2004. Overføringene skjer via kort, mobiltelefoner eller betalingskuponger som kan byttes inn i varene mottakerne trenger. 

RedRose brukes av blant andre Folkekirkens Nødhjælp, Den internasjonale Røde Kors-komiteen (ICRC), Oxfam, Den internasjonale organisasjonen for migrasjon (IOM), UNICEF og Flyktninghjelpen.  

Selskapet vil ikke oppgi hvor mange mennesker som bruker systemet deres. Men ifølge IRIN News bruker 25.000 syriske flyktninger IOMs RedRose-system i Tyrkia, mens ICRC prøver ut programvaren på 9000 flyktninger i Ukraina. 

 

 – Ikke unikt

Hendelsen er en påminnelse om at hele bistandsbransjen mangler tekniske og etiske standarder for håndtering av sensitive personopplysninger, mener Nathaniel Raymond, Daniel P. Scarnecchia og Stuart Campo i den amerikanske tenketanken Harvard Humanitarian Initiative.

”Det som gjør denne hendelsen unik, er ikke at det var mulig å bryte seg inn i serverne, men at dette ble offentlig kjent. Slike hendelser er åpne hemmeligheter i vår bransje”, skriver de i en kommentar på IRIN News. 

Forfatterne viser blant annet til en rapport om at trådløse nettverk i greske flyktningleire er utsatt for titusenvis av angrep fra ukjente avsendere hver uke, og at hjelpeorganisasjoner ble forsøkt hacket etter jordskjelvet i Nepal i 2015, syklonen Pam i Vanuatu i 2015 og ebolautbruddet i Vest-Afrika i 2014.

 

Ansetter ny IT-ekspert

Ifølge Tuva Raanes Bogsnes har Flyktninghjelpen egne ansatte som jobber med informasjonssikkerhet. 

– I tillegg bruker vi nå eksterne konsulenter som skal se på våre globale standarder for innkjøp og bruk av digitale tjenester, samt at vi nå har lyst ut en stilling som rådgiver på informasjonssikkerhet for ytterligere å styrke dette arbeidet, forteller hun Bistandsaktuelt. 

Hvem som vant anbudsrunden rundt betalingssystemer, vil hun ikke fortelle før den endelige avtalen er ferdig. 

Publisert: 11.01.2018 07.34.49 Sist oppdatert: 11.01.2018 07.34.50

Du må gjerne legge inn din egen kommentar i disqus under. Alle innlegg må signeres med fullt navn. Anonyme innlegg fjernes.