Så enkelt hackas ditt Com Hem-konto – allvarlig säkerhetslucka avslöjad

Så enkelt hackas ditt Com Hem-konto – allvarlig säkerhetslucka avslöjad

Bildkälla: Shutterstock / Com Hem

Teodor Stig-Matz

teodor.matz@trijo.co

Christian Ploog

christian.ploog@trijo.co

Trijo News kan nu avslöja ett säkerhetshål som gör det enkelt för en hackare att kapa ett konto hos den svenska tv- och internetleverantören Com Hem.

Hackerattacker av olika slag är något Trijo News har skrivit om flera gånger tidigare. Bland annat har vi rapporterat om överbelastningsattacker mot kryptobörser och så kallade simkortskapningar.

Ofta använder sig hackare av olika svagheter i systemen de försöker ta sig in i. Nu kan Trijo News avslöja att just en sådan svaghet har upptäckts hos den svenska tv- och internetleverantören Com Hem.

Hackar konto – med offentlig information

En video som Trijo News har fått ta del av visar nämligen hur hackaren Nils, som egentligen heter något annat, lyckas kapa ett användarkonto hos Com Hem genom att kontakta företagets kundtjänstchatt och uppge namn samt personnummer (information som ligger öppet på internet) till personen vars konto han vill hacka.

Efter att Nils har gjort detta ändrar kundtjänsten kontots backup-mejl åt honom. När detta har skett får han full tillgång till kontot.

Att hacka företags hemsidor för att uppmärksamma säkerhetsbriser är något Nils gör som en hobby. Han blev inte alls förvånad över hur enkelt det är att kapa ett Com Hem-konto.

– Företag i Sverige har aldrig haft behov av säkerhetsprotokoll då det aldrig riktigt har hänt dåliga grejer här. Man har helt enkelt inte tänkt på hur enkelt det kan vara, på grund av den tillit till kunderna som finns och vice versa, säger han till Trijo News.

Hacket ger tillgång till e-post

Genom hacket får Nils även kontroll över sitt offers e-postkonto på Com Hems plattform, något han menar kan få långtgående konsekvenser.

– Med e-posten kan man komma åt viktiga konton, som till exempel Dropbox, där kan man i sin tur ibland hitta privata nycklar (till exempelvis plånböcker där kryptovalutor förvaras, reds. anm.) eller andra viktiga företagshemligheter.

Emanuel Karlsten, frilansjournalist profilerad inom sociala medier och integritetsfrågor, blir chockad när han får se videon.

– Det framstår ju som helt otroligt. Har ni verifierat att det verkligen kan gå till så här? Att en kundtjänstchatt ändrar backup-mejl så lättvindigt? Stämmer det är det ju skandalöst. Det är ett vidöppet säkerhetshål som bara handlar om vårdslöshet, säger han till Trijo News.

Com Hem: Vi har brustit i våra rutiner

Trijo News har visat videon för Tele2, som äger Com Hem. De erkänner att videon är autentisk, men menar att det rör sig om ett misstag från kundtjänstens sida. Vanligtvis ska det inte gå att ändra backup-mejl utan bank-id.

“I det här fallet har vi tyvärr brustit i våra rutiner. För att ändra de uppgifter som syns i videon ska vår kundtjänst alltid kräva legitimering via bank-id, vilket tyvärr inte skedde i just detta fall. Vi har kontaktat kunden för att ställa allt till rätta, samt ska rapportera händelsen som en integritetsincident. Vi kommer även jobba hårt för att förstärka och påminna om våra interna rutiner med krav på legitimering”, skriver Joel Ibson, kommunikationschef på Tele2, i ett mejl till Trijo News.

Samtidigt menar hackaren Nils att säkerheten hos svenska bolag måste bli bättre och delar med sig av ett tips om hur detta skulle kunna ske.

– Man bör anställa mig som säkerhetschef på Com Hem, Telia, Telenor och alla andra företag som hanterar personuppgifter som potatisar, säger han till Trijo News.

Följ Trijo News på FacebookTwitter och Instagram.

Testa Trijos kryptobörs - helt utan avgifter!

Relaterade artiklar

Ta del av de senaste nyheterna.