Epostfälla avslöjade intrång på Svenska Spel?

Alldeles nyss lade jag på luren efter att ha pratat med en projektchef för Spelkortet (tror jag det var) på Svenska Spel, som faktiskt lät lite uppskakad av min fråga. Kanske borde jag tacka min trevliga telefonröst och min förmåga att låta seriös för att han inte bara avfärdade mig, eftersom det faktiskt verkar som att de utsatts för oegentligheter.

Det rör sig antingen om ett dataintrång där åtminstone epostadresser stulits, eller också om att någon inom organisationen läckt samma information – kanske mot »betalning«? Det kan också vara så att det handlar om en osannolik slump, så glöm för guds skull inte bort att läsa frågetecknet i rubriken.

Händelsen måste även ha ägt rum tidigare än september, då de upptäckte en trojan på sitt interna nätverk.

Men hur sjutton kan jag veta det?

Att gillra en epostfälla

Sedan flera år tillbaka lämnar jag aldrig ut min egentliga epostadress till andra än mina närmaste. Istället använder jag en ny i varje nytt sammanhang, och när jag registrerar mig på någon sajt blir det med en unik för den sajten.

Eftersom jag äger mina egna domäner har jag valet att ta emot all epost som skickats till icke existerande mottagare. När ett företag kontaktar mig, gör de det på en adress som bara de har.

Inte ens på min egen dator eller min epostserver finns adressen lagrad. Den är icke-existerande.

(Samma trick går förresten att utföra med många (men inte alla) mejltjänster, bland annat GMail, genom att man ger dem en plusadress – istället för att ge dem adressen till.mig@example.com, ge dem till.mig+derasnamn@example.com, så kommer deras utskick ändå att levereras till din egen adress.)

Men några plusadresser är det inte tal om i det här fallet, utan det handlar verkligen om adresser som inte finns.

Fällan slår igen

Så döm om min förvåning när det i april i år trillade in reklam för rakebacklovers.com på den adress jag givit till Svenska Spel och bara till dem. Jag epostade deras kundtjänst och frågade vad det kom sig, men fick inget svar.

Utöver några ytterligare reklammeddelanden under april, så vet jag inte om jag fick något mera förrän i augusti, eftersom jag kan ha raderat dem utan att reflektera över att mottagaradressen var Svenska Spels.

Men i augusti kom alltså fler. Denna gång från onlinehunters.net.

Jag kontaktade dem igen via epost, men utan svar.

Idag ringde jag dem istället. Efter att ha fått höra av en trevlig supporttjej att vad jag berättade om stred mot deras policy några gånger, erbjöd hon sig att slussa mig vidare till någon med bättre koll.

Snart pratade jag med den där projektchefen, bifogade en kopia av ett av reklamutskicken till honom, och fick höra ytterligare tio gånger att det stred mot deras policy.

Epostfällan hade slagit igen (igen, det har hänt förr)!

Pinsamt!?

Nja, egentligen inte särskilt.

Här är ett avsnitt ur deras aktuella medlemsvillkor:

Svenska Spel skall behandla information rörande de uppgifter som registrerats om Spelaren, inklusive spelkontotransaktioner, konfidentiellt. Endast behörig myndighet kan erhålla sådana uppgifter enligt svensk lag eller regeringsbeslut.

Man måste ha klart för sig att de knappast fattat beslut om att sälja sitt epostregister till ryska online-kasinon. Vad som däremot skulle kunna vara pinsamt är att de inte svarat på mina mejl.

Räknar man in att jag kan vara precis vem som helst (och det är jag ju) så hade jag förstått om de skickat något tråkigt och avfärdande svar. Nu svarade de inte alls istället, och med tanke på vad Svenska Spel faktiskt är för slags bolag, är det ändå lite anmärkningsvärt att eventuella säkerhetsfrågor kastas i papperskorgen.

Särskilt som den första människan jag pratade med faktiskt föreslog att någon kanske ringt och låtsats vara mig, och på så vis fått tag på min epostadress. I det här fallet är det någonting oerhört osannolikt, eftersom adressen faktiskt innehåller »svenskaspel«. Vem är så dum egentligen?

Läckor är omöjliga att förhindra helt

Att de råkat ut för en registerläcka är en helt annan sak. Det är dåligt, ska undvikas, men det går inte att göra det omöjligt att komma åt uppgifterna. Åtminstone inte i praktiken.

Allt man kan göra är att minska sannolikheten att det sker.

I det här fallet kan man i första hand misstänka ett insider-jobb eller ett dataintrång. Båda är omöjliga att helt förhindra.

Någon måste ha tillgång till epostregistren, annars finns ingen som kan göra utskick eller ändra adress om det blivit fel. Några av de datorer som epostadresserna lagras på måste i sin tur vara kopplade till internet för att kunna göra utskicken.

Man kan göra det svårt att bryta sig in i datorer, liksom man kan göra det krångligt att få med sig data ut ur organisationens lokaler, men det går aldrig att förhindra helt.

Att jag bara fått reklam från diverse nätkasinon antyder dessutom att de som skaffat epostadresserna varit på jakt specifikt efter just Svenska Spels register.

Inga tvivel

Det råder för mig ingen tvekan om att det är på deras sida läckaget skett. Den aktuella epostadressen finns, förutom i deras register, endast i det fåtal reklamutskick jag har sparade i min knädator – epost från Svenska Spel har jag aldrig sparat efter att jag läst dem – och när jag väl fick reklamutskicken hade ju adressen bevisligen redan kommit ut.

Tillika intressant är att jag valt att avstå alla former av utskick ifrån Svenska Spel. Min epostadress hanteras rimligtvis inte av deras system över huvud taget, förutom när det gäller databasunderhåll.

De illegala utskick jag fått innehåller inte mitt namn heller, utan är adresserade som om jag hette detsamma som den första delen av min epostadress. Även om detta antyder att någon kommit åt en utskickslista, istället för något komplett medlemsregister, så ska jag egentligen inte finnas på några utskickslistor eftersom jag avböjt alla utskick. Vad för register som läckt, om något läckt, det vågar jag alltså inte gissa.

Så till sist, frånsett alla indicier på att det är Svenska Spels register som läckt, hur stor är den isolerade sannolikheten att någon ändå kunnat få tag på adressen genom att ta sig in i min lilla knädator kristina?

Den är så otroligt försvinnande liten, att det är meningslöst att ens tänka tanken.

Min användarprofil kan inte beskrivas mera träffande än med ordet paranoid. Epostadressen kan ha funnits i något mejl åt gången på min hårddisk, kanske sammanlagt motsvarande ett par dygn sedan jag registrerade mig hos dem för flera år sedan. Bortsett då från de här reklamutskicken, som jag sparat på.

För att säga det så att en geek förstår: Jag är paranoid och kör uteslutande OpenBSD. Firefox och Pidgin går under en annan användare utan tillgång till mina filer, eftersom jag är lite oroligt lagd. Mitt radionätverk är WPA-PSK, men jag tunnlar genom IPSec ändå. För att komma åt adressen måste man ge sig på mig specifikt – det finns säkert flera som skulle klara av det, inte minst genom att helt enkelt bryta sig in i min lägenhet – men varför ett sådant hästjobb för att bara sälja min adress till två sketna nätkasinon?

Jag säger det otroligt sällan, men den här gången är jag faktiskt helt säker. Läckan var hos Svenska Spel, kanske via någon anställd eller dataintrång, och det är med all sannolikhet inte bara just min adress som läckt. Kanske handlar det om samtliga epostadresser de hade registrerade i våras. Kanske handlar det till och med om mera än bara epostadresser.

Det blir spännande att se vad som händer!

Kommentarer till inlägget

  1. Hassan farsan, 5 december 2009, 21.53Gravatar

    Följer detta råd sedan tidigare - tack!
    Få se om någon fastnar i mina urgrävda fångstgropar och nyknutna nät. Hitintills ingen på 5 månader och förhoppningsvis ingen fortsättningsvis heller
    God jakt son

  2. Steffe Storm, 14 april 2010, 18.47Gravatar

    Jag fick mail från rakebacklovers igår på min svenskaspel-adress. Svenska spel sa samma sak till mig, att mailadressen inte lämnas ut så det är min epostleverantör som har gjort fel. Men eftersom jag är min egen mailadministratör så vet jag precis vad jag förväntar mig få på min svenskaspel-adress. Så mailadresserna från svenskaspel måste ha läckt ut någonstans, typ via svenskaspels kundregister kanske?

  3. Jesper, 14 april 2010, 19.01Gravatar

    Hej Steffe. Mycket intressant! Jag har tänkt följa upp det här ett tag, men inte kommit till skott ännu. Det börjar kännas som att det är dags.

    Under mitt samtal med projektchefen för spelkortet fick jag honom att själv titta i registret, så jag vet att han såg hur min epostadress var utformad. Efter det samtalet har inte ett enda av den här typen av skräppost inkommit på den adressen.

    De här "special"-adresserna jag använder är utformade enligt mallen prefix-företag@example.com. Det intressanta är att samtidigt som all skräppost till prefix-svenskaspel@ upphörde, började jag få samma utskick från samma online-kasinon till adressen prefix-@, alltså endast med den skillnaden att ordet "svenskaspel" försvunnit ur adressen.

    Aldrig – inte en enstaka gång – har jag fått meddelanden till den adressen innan jag pratade med honom. I samma veva som jag gör det så börjar det komma in utskick från samma nätkasinon till den här adressen.

    Ett märkligt sammanträffande? Det beror på vad Svenska Spel håller på med. Jag har en otäck känsla av att om det kom i ljuset vad som ligger bakom det här, skulle det inte verka särskilt märkligt längre.

    Om någon annan som läser detta också drabbats, så uppmanar jag er att höra av er! Det går bra att posta en kommentar här – fyll bara i en riktig kontaktadress. Den visas inte för någon. Annars kan man skicka epost till mig på adressen som kommer fram när man klickar här och fyller i orden som visas.

  4. Jesper, 9 juni 2010, 23.30Gravatar

    Något liknande verkar ha orsakat att man avslöjat ett intrång på Mötesplatsen.se.

  5. Micke, 24 augusti 2010, 13.11Gravatar

    Något nästan liknande hände mig och Unionen.se så jag var tvungen att ringa och hota med reprisalier. Zylom lyssnade inte, så dom fick det dom gav gånger 100 med ett löfte om att för varje gång hittade jag dom i min maillog igen skulle jag lägga till två nollor.

    Roligt att se en annan som kör med samma taktik angående epost-adresser.
    Fast jag började pga spam inte pga paranoia.

    Fast jag verkar ta det lite högre, jag skapar dyndns domäner på min mailserver som jag utnyttjar på nästan samma sätt. Tack vare Thunderbird kan jag skapa en ny identitet som matchar aliaset om jag behöver besvara ett mail.
    Men oftast utnyttjar jag 10minutemail.com och om sajten är ok så byter jag till ett så att jag kan ta emot mail.

    Men när kommer en uppföljning?

  6. Jesper, 24 augusti 2010, 13.58Gravatar

    Tack för kommentaren! Jag har, i och med att jag driver ett antal bloggar där (nästan) alla kräver epostadress för att kommentera, sett att det inte bara är vi som gör så.

    På senare tid har jag börjat använda ett script med följande kärna för att skapa epostadresser:

    echo $url| base64 -e | sed 's/\=/\_/g'|col

    Anledningen är förstås vad jag nämnde i en tidigare kommentar: att sajtnamnet försvunnit ur mottagaradressen.

    Är osäker på när en uppföljningen egentligen kommer. Jag vet att samma utskick som dem inlägget faktiskt handlar om fortfarande dimper ned emellanåt, så jag håller på att spara dem på hög. När jag har i sådana utskick har ett mera gediget vad-hände?-material kommer jag följa upp åtminstone Svenska Spel-spåret.

    Bra idéer till alternativa sätt att följa upp är mycket välkomna; jag har inga andra uppslag själv, tyvärr.

    För övrigt kan jag meddela att en intressant syndare – som kom sannolikt kom över en av mina adresser på olagligt vis, gjorde utskick i strid med marknadsföringslagen, valde att inte svara på mina epostmeddelanden med nejtackanden, och därefter fortsatt sina utskick – är tidningen Dagens Juridik. Får det vara ett exemplar av Hanlons rakkniv? :-)

Lämna en kommentar