Av en melding publisert på skolens interne systemer onsdag kveld fremgår det at både ansatte og studenter er rammet:
«NHH har mottatt en liste over kompromitterte brukernavn og passord, men kan ikke garantere at denne er uttømmende. Listen inneholdt også flere student-brukernavn og passord» skriver skolen i beskjeden som også ble sendt ut på epost.
– Vi har ikke endelig oversikt over hvem som har rammet. Det vi vet er at en del brukernavn og passord er blitt hentet ut av dette systemet, sier kommunikasjonsdirektør Geir Mikalsen til DN.
Sikkerhetshull kjent mer enn et år
NHH bruker en såkalt VPN-tjeneste, som enkelt forklart lar eksterne brukere koble seg på skolens nett og dermed få tilgang til for eksempel digitale fagtidsskrifter uten å befinne seg på campus i Bergen. Varianten skolen bruker, Pulse Secure, er utsatt for et større digitalt angrep.
Kommunikasjonsdirektør Mikalsen opplyser at angrepet mest sannsynlig begrenser seg til studenter og ansatte som har opprettet konto for å få tilgang til denne spesifikke tjenesten, men at dette er for tidlig å slå fast.
I en uttalelse DN har fått fra Pulse Secure går det frem at sikkerhetshullet som ble utnyttet av hackerne har vært kjent lenge, og at løsningen har vært tilgjengelig for deres kunder i over et år.
– Vi oppfordrer våre kunder på det sterkeste til å installere oppdateringen, for å beskytte seg selv fra trusselaktører og potensielle angrep, sier markedssjef Scott Gordon i uttalelsen.
Skulle avvikle systemet
Selskapet anslår at 97 prosent av kundene sikret seg før angrepet, og hevder selv å ha vært en aktiv pådriver for dette.
– Siden april 2019 har Pulse Secure tatt kontakt med våre kunder på telefon, via epost og med notifikasjoner i programvaren for å be dem installere oppdateringen som tetter hullet, sier Scott.
NHH erkjenner at de ikke har installert oppdateringen som kunne forhindret angrepet.
– NHH har besluttet å slutte å bruke denne tjenesten, og den har vært under avvikling. Det er mest sannsynlig dette som er årsaken til at den ikke er oppdatert, sier kommunikasjonsdirektør Geir Mikalsen.
Publisert på «hacker-forum»
Den amerikanske it-nettavisen ZDnet har beskrevet ble det nylig publisert en liste med blant annet ukrypterte brukernavn, passord og ip-adresser til mer enn 900 VPN-servere med Pulse Secure verden over. Disse ble publisert på et nettforum som ifølge nettavisen brukes av hackere som driver med såkalt «løsepengevirus» – dataangrep som låser et it-system med krav om løsepenger for å åpne det igjen.
Hydro ble rammet av et slikt angrep i fjor, med store konsekvenser. Les om det her.
Sikkerhetseksperter ZDnet har snakket med mener listen satt sammen i tidsrommet 24. juni og 8. juli.
Ifølge NHH ble skolen varslet om datainnbruddet onsdag ettermiddag, men skriver at det trolig har skjedd på et tidligere tidspunkt. De stengte umiddelbart Pulse Secure og ba alle ansatte og studenter om å skifte passord. It-avdelingen vurderer nå hvilke andre tiltak som må iverksettes.
«Av forebyggende hensyn må derfor alle ansatte og studenter skifte passord så raskt som mulig» heter det i beskjeden sendt ut sent onsdag kveld.
NHH melder også saken til Datatilsynet, bekrefter kommunikasjonsdirektør Mikalsen. (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.