Onsdag informerte NHH studenter og ansatte om at de har blitt utsatt for et datainnbrudd, melder Dagens Næringsliv. NRKs gjennomgang av datalekkasjen tilsier at over 300 studenter og ansatte er kompromittert.
Det skal ha skjedd etter et større internasjonal datainnbrudd som har påvirket flere hundre organisasjoner.
Ifølge teknologinettstedet ZDNet skal 900 VPN-servere være rammet.
VPN-tjenester brukes av organisasjoner for å gi ansatte tilgang til interne tjenester hjemmefra. Det gjør slike servere verdifulle fordi hackere kan stjele brukernes passord, og dermed få tilgang til organisasjonenes interne nettverk.
Sårbarhet kjent siden 2019
«NHH har mottatt en liste over kompromitterte brukernavn og passord, men kan ikke garantere at denne er uttømmende. Listen inneholdt også flere student-brukernavn og passord», skriver NHH i en e-post Dagens Næringsliv fått tilgang til.
Ifølge ZDNet skal brukernavn og passord til medlemmer av en rekke organisasjoner være tilgjengelig på et forum for hackere. For NHH er det snakk om over 300 kontoer, ifølge en analyse gjort av NRKbeta.
Sårbarheten som ble utnyttet har vært kjent siden april 2019. Sikkerhetsekspert Per Thorsheim er kritisk til at NHH ikke har handlet tidligere.
– Hvis denne sikkerhetsoppdateringen hadde kommet i april i år ville jeg hatt forståelse for at den ikke var installert på grunn av koronasituasjonen. Men den kom i 2019 og var markert som kritisk. Jeg finner det uforståelig at oppdateringen ikke har blitt installert ennå, sier Thorsheim til NRKbeta.
Thorsheim mener en så alvorlig sårbarhet må fikses så raskt så mulig.
Undersøker omfanget
Kommunikasjonsdirektør for NHH, Geir Mikalsen, oppgir til NRK at VPN-tjenesten var til avvikling og at den ble stengt onsdag ettermiddag. Skolen har også bedt alle studenter og ansatte endre passord.
– Selv om tjenesten var under avvikling ser jeg for meg at det ville vært naturlig å oppdatere løsningen siden dere har brukt den en stund videre?
– Ja. Det kan godt være i etterpåklokskapens lys at det burde vært gjort. Vurderingen var at dette vare en tjeneste vi ikke skulle bruke. Den var under avvikling og derfor ble det ikke gjort noen oppgradering på den, sier Mikalsen.
– Hva vet dere om omfanget på hvor mange brukernavn og passord som er på avveie?
– Det vet vi ikke. Det ble oppdaget en del brukernavn på et hackerforum, men vi vet ikke hvor mange det gjelder, sier Mikalsen.
Ifølge Mikalsen jobber NHH nå med en avviksmelding til Datatilsynet.
En epostkonto overtatt
Da NRKbeta intervjuet Mikalsen tidligere i dag oppga han at NHH ikke hadde indikasjon på at hackere hadde tatt seg inn i NHHs interne systemer.
Nettstedet Digi har i formiddag bekreftet at en ansatt ved NHH har fått sin konto overtatt av en hacker. Ifølge Digi ble det sendt ut en epost fra den ansatte signert «uhodiransomwar». Denne brukeren har også vært aktiv på hackerforumet der NHHs data ble delt.
– Eposten hinter om at hackerne har klart å logge seg inn på flere epostkontoer. Har dere indikasjon på at flere har blitt utsatt for det samme?
– Det er det første og eneste tilfellet vi har avdekket av at noen faktisk har hacket en epostkonto hos oss. Denne kontoen er stengt og medarbeideren har fått en ny konto, sier Mikalsen til NRKbeta.
– Kan dere utelukke at andre andre kontoer er rammet?
– Vi kan ikke utelukke det. Det vi må gjøre er å forholde oss til fakta etterhvert som vi oppdager at noen er hacket. Foreløpig har det bare vært et tilfelle, sier Mikalsen.