E-handlare drabbade i ransomware-attack

Den där jävla plattformen de köpte från Pulse har fan läckt som ett såll senaste åren. Är väl dessutom Junipers gamla skapelse som är hur gammal som helst.

Systembolaget alltså. Nu är det personligt.

Att ha redundas med fler leverantörer av datacenter är förstås bra, men otroligt svårt att försvara ur ett ekonomiskt perspektiv. I det här fallet är det Tietos egna säkerhet som brustit, lite svårt för kunden att skydda sig emot om man inte har outtömliga fickor.

Det känns extremt långsökt. Du menar alltså att någon som "jobbar" på de som gjort ransomwaret även har anställning med hög säkerhetsklassning och rättigheter hos TietoEvery?

Junipers Web UI? Du tänker på Ivanti Connect Secure?
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authent...

Det är bara patcha direkt med workaround, och vänta på ett de släpper en riktig mjukvara som täpper till kalaset.

Jepp, någon som är te.x missnöjd, vet att de skall få sparken, hotade av externa personer, utpressning, fått betalt av externa personer m.m Listan kan göras lång på potentiella scenarion där en insider skulle kunna ha gjort det.
Tieto borde ha så pass bra skydd i sina datacenters att exempelvis lateral förflyttning och phishinmail inte borde funka.

Ah sant, så det var MDM och inte VPN som var sårbar för deras del?

Även riksdagen har drabbats av helgens cyberattack.

Det säger försvarsutskottets ordförande Peter Hultqvist (S) till TV4 Nyheterna.

60 000 offentligt anställdas löner står och hänger på ett lönesystem som havererat för Statens servicecenter – myndigheten med huvudkontor i Gävle.

– Det blir både oro och frustration, säger Peter Stöckel, avdelningschef för lönetjänster.

Huh? Har man backat? Man sa ju från första minuten att lönerutbetalningar inte påverkas

Informationen jag fått och som även står på SSC;s hemsida är att lönefilerna skickats till bankerna innan angreppet, så januarilönerna kommer betalas ut som vanligt. Hur det blir därefter tycks dock oklart då lönesystemen ligger nere.

Lönekörningarna görs normalt andra veckan i månaden, så det är ett par veckor de har på sig att fixa det.

Jag tror det blir jäkligt svårt att fixa på ett par veckor om backuperna är drabbade.

Informationen jag fått och som även står på SSC;s hemsida är att lönefilerna skickats till bankerna innan angreppet, så januarilönerna kommer betalas ut som vanligt. Hur det blir därefter tycks dock oklart då lönesystemen ligger nere.

Kan ju realistiskt sett inte vara mycket svårare än att betala ut samma igen med klausul om att korrigering sker senare.

Genom vilket system och hur vet de vad som betalades ut föregående månad om de inte kommer åt systemen? Det blir manuell hantering i så fall, där alla anställda får inkomma med lönespecar och sen skicka betalningsuppdrag till Swedbank... som i sin tur måste hantera det manuellt.

I might be dumb here, men den infon borde ju finnas i lönefilerna som bankerna tagit emot?

Så om tiden drar ut, betala enligt samma fil 2 ggr å sedan korrigera?

I might be dumb here, men den infon borde ju finnas i lönefilerna som bankerna tagit emot?

Så om tiden drar ut, betala enligt samma fil 2 ggr å sedan korrigera?

Jag tänkte inte på det men det förutsätter att filerna är sparade och är lätta att köra igen. Systemet lär vara helt automatiserat och jag gissar att som minst måste någon in och ändra datum för varje utbetalning. Eftersom det innebär en massa arbete för banken kommer de också trilskas. Banker är jävligt bra på att trilskas.

Kan ju realistiskt sett inte vara mycket svårare än att betala ut samma igen med klausul om att korrigering sker senare.

Hur ser en sån där fil ut? Kan man öht ändra på den eller är innehållet signerat?

Jag vet inte men någon form av signering måste det finnas. Jag menar, det är ju inte en chans att myndigheter skulle skicka, eller banker godta, osignerade betalningsuppdrag.

Hehehehe. Alla lönefiler jag har sett har varit flatfiler, antingen fastlängdsfält eller teckenseparerade. Vi pratar inte ens om 90-talsteknik i form av XML, utan om 60-talsteknik.

Som ett exempel på filformat som bankvärlden jobbar med kan vi ta BgMax, den fil med information man får från banken/bankgirot om transaktioner som gjorts så att man kan stämma av vilka kunder som betalat sina fakturor. "Posterna följer traditionell 80-teckenslayout." Vad jag minns finns det inte ens någon checksumma.

Jag vet inget om Primula, men jag har byggt integrationer mot Statens Servicecenters affärssystem. Faktureringsunderlag i flatfilsformat. När man jobbar i IT-branchen har man förmånen att jobba med relativt intelligenta, kompetenta och trevliga människor. Och så har jag som sagt jobbat med SSC.

Hehehehe. Alla lönefiler jag har sett har varit flatfiler, antingen fastlängdsfält eller teckenseparerade. Vi pratar inte ens om 90-talsteknik i form av XML, utan om 60-talsteknik.

Som ett exempel på filformat som bankvärlden jobbar med kan vi ta BgMax, den fil med information man får från banken/bankgirot om transaktioner som gjorts så att man kan stämma av vilka kunder som betalat sina fakturor. "Posterna följer traditionell 80-teckenslayout." Vad jag minns finns det inte ens någon checksumma.

Jag vet inget om Primula, men jag har byggt integrationer mot Statens Servicecenters affärssystem. Faktureringsunderlag i flatfilsformat. När man jobbar i IT-branchen har man förmånen att jobba med relativt intelligenta, kompetenta och trevliga människor. Och så har jag som sagt jobbat med SSC.

4 Anti-tampering protection
Anti-tampering protection is mandatory for all files sent to Bankgirot. The entire file must be
protected from tampering.

Two types of anti-tampering protection can be used with Bankgirot:
 Digital signature
 Authentication

Bankgirot supports two authentication methods:
 Nexus Elektroniskt Sigill (previously SÄKDATA)
 HMAC SHA-256
Note: For more information on anti-tampering protection, see the technical manual Anti-
tampering protection with authentication available at www.bankgirot.se.

Ja det här ser inte bra ut. Det verkar som hela deras datacenter är utslaget för bland annat noden as34950
Här kan man se vilka som är drabbade, i princip alla domäner som ligger där är nere eller så har de flyttats temporärt.
AS34950 - Tietoevry Tech Services Sweden AB
Men det är bara toppen på isberget för det är flera tjänster som inte ligger publikt som är påverkade. T.ex. HR systemet Primula.
Om 60 000 myndighetsanställdas personalakter är på vift så är detta det största dataintrånget i svensk historia.
För mig är det helt oroligt att Tieto inte har segmenterat sina lösningar bättre och frågan är om inte vissa kunders data är bort för alltid.