Slik ble Nettby hacket

Slik ble Nettby hacket

200 av VGs Nettby-brukere ble tappet for totalt 70.000 kroner, men gjerningsmannen tjente null kroner på stuntet.

- Sikkerhetshullet er nå tettet, og vi kommer til å anmelde saken, sier Rune Røsten, administrerende direktør i Nettby, til Computerworld.

Det var sent mandag kveld at VG Nett kunne informere om at en rekke Nettby-brukere hadde blitt tappet for penger. I intervaller på 30 kroner, i form av sms-avgift, ble en rekke brukere tappet for mange penger på få sekunder.

- En liten katastrofe for dem som er rammet, uttalte administrerende direktør i VG Nett Jo Christian Oterhals, som både tilbyr og delvis eier Nettby, i den forbindelse.

På tidspunktet var det noe uklart hva som hadde skjedd, men nå har selskapet Nettby Community omsider tatt rede på hva som gikk galt.

- Det var en nettby-bruker som kjørte cross site scripting. Scriptet gjorde at du ga bort Nettby Max til tilfeldige brukere, og en ny sms ble trigget hvert sekund så lenge siden var oppe, sier Røsten til Computerworld.

Får tilbake pengene

Nettby Max er en tilleggstjeneste som gir Nettby-brukere flere funksjoner. Tjenesten koster 30 kroner for 20 dager, og kan enten kjøpes til en selv eller på vegne av andre brukere. Kostnaden belastes via sms.

- På bakmannens nettside var det et script som satte i gang en prosess der han brukte dine data til å kjøpe Nettby Max til tilfeldige brukere. Det var umiddelbart mange som tok kontakt, og mange som var på jobb, så vi merket dette fort. Først stoppet vi utsendelsene ved å ta ned sms-gatewayen, og samme kveld fant vi sikkerhetshullet. Totalt lå scriptet ute i rundt 20 minutter, ifølge Røsten.

På disse 20 minuttene ble altså totalt 200 brukere tappet for til sammen 70.000 kroner.

- Vi har sendt ut sms til alle som ble berørt og bedt til oppgi kontonummer, så skal de få tilbake pengene. Det er også mulig for noen av tilfellene å reversere belastningen hos Telenor.

Robin hood-aktig?

Av Nettbys brukere er halvparten over og halvparten under 19. Gjerningsmannen, som er identifisert, beskrives som ung, men over myndig alder. Det kan nesten fremstå som om gjerningsmannen var ute i et Robin Hood-aktig ærend, ettersom vedkommende ikke tjente en eneste krone på stuntet.

Det var derimot mange tilfeldige personer som plutselig fikk en litt tidlig julegave som nøyaktig varer til juleaften. Røsten sier Nettby ikke kommer til å nedgradere de som tilfeldigvis fikk Nettby Maks i 20 dager.

Røsten aner ikke hva motivasjonen til hackeren var.

- Jeg vet ikke hvorfor han gjorde det. Kanskje det var for å vise at han hadde datakunnskaper, sier han.