1/25
Incidenthantering
Leif Nixon
2/25
SPOTIFY
Important Notice to Our Users
May 27th, 2014 15:00 by Oskar Stål, CTO, Spotify
We’ve become aware of some unauthorized access to our systems and internal
company data and we wanted to let you know the steps we’re taking in response.
As soon as we were aware of this issue we immediately launched an
investigation. Information security and data protection are of great importance to
us at Spotify and that is why I’m posting today.
Our evidence shows that only one Spotify user’s data has been accessed and this
did not include any password, financial or payment information. We have
contacted this one individual. Based on our findings, we are not aware of any
increased risk to users as a result of this incident.
We take these matters very seriously and as a general precaution will be asking
certain Spotify users to re-enter their username and password to log in over the
coming days.
[. . .]
3/25
Important Notice to Our Users
May 27th, 2014 15:00 by Oskar Stål, CTO, Spotify
We’ve become aware of some unauthorized access to our systems and internal
company data and we wanted to let you know the steps we’re taking in response.
As soon as we were aware of this issue we immediately launched an
investigation. Information security and data protection are of great importance to
us at Spotify and that is why I’m posting today.
Our evidence shows that only one Spotify user’s data has been accessed and this
did not include any password, financial or payment information. We have
contacted this one individual. Based on our findings, we are not aware of any
increased risk to users as a result of this incident.
We take these matters very seriously and as a general precaution will be asking
certain Spotify users to re-enter their username and password to log in over the
coming days.
[. . .]
3/25
Important Notice to Our Users
May 27th, 2014 15:00 by Oskar Stål, CTO, Spotify
We’ve become aware of some unauthorized access to our systems and internal
company data and we wanted to let you know the steps we’re taking in response.
As soon as we were aware of this issue we immediately launched an
investigation. Information security and data protection are of great importance to
us at Spotify and that is why I’m posting today.
Our evidence shows that only one Spotify user’s data has been accessed and this
did not include any password, financial or payment information. We have
contacted this one individual. Based on our findings, we are not aware of any
increased risk to users as a result of this incident.
We take these matters very seriously and as a general precaution will be asking
certain Spotify users to re-enter their username and password to log in over the
coming days.
[. . .]
3/25
Important Notice to Our Users
May 27th, 2014 15:00 by Oskar Stål, CTO, Spotify
We’ve become aware of some unauthorized access to our systems and internal
company data and we wanted to let you know the steps we’re taking in response.
As soon as we were aware of this issue we immediately launched an
investigation. Information security and data protection are of great importance to
us at Spotify and that is why I’m posting today.
Our evidence shows that only one Spotify user’s data has been accessed and this
did not include any password, financial or payment information. We have
contacted this one individual. Based on our findings, we are not aware of any
increased risk to users as a result of this incident.
We take these matters very seriously and as a general precaution will be asking
certain Spotify users to re-enter their username and password to log in over the
coming days.
[. . .]
3/25
Important Notice to Our Users
May 27th, 2014 15:00 by Oskar Stål, CTO, Spotify
We’ve become aware of some unauthorized access to our systems and internal
company data and we wanted to let you know the steps we’re taking in response.
As soon as we were aware of this issue we immediately launched an
investigation. Information security and data protection are of great importance to
us at Spotify and that is why I’m posting today.
Our evidence shows that only one Spotify user’s data has been accessed and this
did not include any password, financial or payment information. We have
contacted this one individual. Based on our findings, we are not aware of any
increased risk to users as a result of this incident.
We take these matters very seriously and as a general precaution will be asking
certain Spotify users to re-enter their username and password to log in over the
coming days.
[. . .]
3/25
[. . .]
As an extra safety step, we are going to guide Android app users to upgrade over
the next few days. If Spotify prompts you for an upgrade, please follow the
instructions. As always, Spotify does not recommend installing Android
applications from anywhere other than Google Play or Amazon Appstore. At this
time there is no action recommended for iOS and Windows Phone users.
We have taken steps to strengthen our security systems in general and help
protect you and your data – and we will continue to do so. We will be taking
further actions in the coming days to increase security for our users.
4/25
För att sammanfatta
5/25
Bara en enda användares data har accessats. Det finns inga
ökade risker för andra användare.
För att sammanfatta
5/25
Bara en enda användares data har accessats. Det finns inga
ökade risker för andra användare.
Vi byter ändå ut vår gamla Android-app mot en helt ny,
med en ny signeringsnyckel.
För att sammanfatta
5/25
Bara en enda användares data har accessats. Det finns inga
ökade risker för andra användare.
Vi byter ändå ut vår gamla Android-app mot en helt ny,
med en ny signeringsnyckel.
Men oroa er inte, lita på oss.
För att sammanfatta
Bara en enda användares data har accessats. Det finns inga
ökade risker för andra användare.
Vi byter ändå ut vår gamla Android-app mot en helt ny,
med en ny signeringsnyckel.
Men oroa er inte, lita på oss.
5/25
6/25
7/25
Att utreda en incident är att återskapa en berättelse.
8/25
Att utreda en incident är att återskapa en berättelse.
Från ofullständiga data återskapar vi berättelsen om hur
intrånget gick till.
Grundläggande för att förstå vad som hänt, och för att
förhindra att det upprepas. Och för att kommunicera med
omvärlden.
8/25
Att utreda en incident är att återskapa en berättelse.
Från ofullständiga data återskapar vi berättelsen om hur
intrånget gick till.
Grundläggande för att förstå vad som hänt, och för att
förhindra att det upprepas. Och för att kommunicera med
omvärlden.
Nånting man lär sig snabbt är att känna om nånting ”luktar
fel”; om berättelsen inte hänger ihop.
8/25
Det är uppenbart att nånting är fel med berättelsen om
intrånget på Spotify.
Är det nånting viktigt de inte berättar för oss?
Eller har de inte en aning om hur man hanterar en
säkerhetsincident, och handlar i panik?
9/25
Jobbannons, två veckor senare
Security Engineer
We’re now looking for an outstanding Security Engineer who
will be performing system architecture and manual code
reviews of Spotify’s system to ensure the security of our
platform. [. . .]
10/25
TOYS’R’US
11/25
Toys’R’Us – julhandeln 2008
12/25
Toys’R’Us – julhandeln 2008
13/25
En butikschef i Malmö hittar skimmers på kortläsarna i
kassorna
I
Kontaktar internrevisionen
I
Varnar övriga butiker i Sverige
I
Ringer polisen
Polisen håller presskonferens och varnar allmänheten
14/25
En butikschef i Malmö hittar skimmers på kortläsarna i
kassorna
I
Kontaktar internrevisionen
I
Varnar övriga butiker i Sverige
I
Ringer polisen
Polisen håller presskonferens och varnar allmänheten
Genidrag: Som tillfällig lösning täcktes alla kortläsare med
klistermärken och inristade märken – omöjligt att sätta en
skimmer på dem utan att det syntes.
14/25
Utmärkt incidenthantering!
15/25
Utmärkt incidenthantering!
15/25
Erkänner allvaret
Transparent
Handlingskraftig
Begriplig
16/25
Ja, åtminstone tills. . .
Toys’R’Us skäller ut polisen
Banken skäller ut polisen
Ja, åtminstone tills. . .
Toys’R’Us skäller ut polisen
Banken skäller ut polisen
Slutresultatet är ändå mestadels
positiv press.
16/25
KRONOFOGDEN
17/25
6 mars 2012
Ett intrång upptäcks på ett konto på en IBM-stordator hos
Logica (numera CGI). Långsamt uppdagas incidentens
omfattning – systemet är fullständigt genomknäckt.
22 mars förklarar rikspolischefen intrånget vara en ”nationell
särskild händelse”.
En lång rad kunder hos Logica har fått data stulna. Särskilt
allvarliga är Skatteverket, Polisen och Kronofogden.
18/25
16 april 2013
Efter ett gigantiskt utredningsarbete lämnar åklagaren in
stämningsansökan till Nacka tingsrätt.
I det voluminösa materialet återfinns bl a
”Kronofogdemyndighetens beskrivning av konsekvenser med
anledning av dataintrånget.”
19/25
Vad säger då Kronofogden?
[. . . ]
I bifogad bilaga finns ett antal filer uppräknade som Kronofogden
bedömer ha blivit kopierade och som har olika känslighet.
Filerna med redovisningsinformation (D044.EE52PROD.ABS.G0528V00
m fl) bedöms inte som känsliga. Det finns visserligen personuppgifter på
dessa men informationen är offentlig om man begär ut den på vanligt
sätt från myndigheten.
Även när det gäller överföring av information till INIT för utskrift av krav
(D044.IB25PROD.INITKRAV.G0398V00) är bedömningen att det inte
handlar om känslig information i sig. Det är visserligen både
skulduppgifter och namn och address (dock inte skyddade), men
informationen kan erhållas på begäran.
[. . . ]
20/25
Men vad är det egentligen som stulits?
Men vad är det egentligen som stulits?
10 gigabyte data.
Men vad är det egentligen som stulits?
10 gigabyte data.
Skulle man skriva ut datat skulle det gå åt
12 ton papper.
Men vad är det egentligen som stulits?
10 gigabyte data.
Skulle man skriva ut datat skulle det gå åt
12 ton papper.
Med ett US Robotics-modem från 2001 skulle det ta
2½ vecka
att ladda ner datat.
21/25
Men vad är det egentligen som stulits?
Hela registret med gäldenärer;
500 000 personer.
22/25
Men vad är det egentligen som stulits?
Hela registret med gäldenärer;
500 000 personer.
Namn.
Adress.
Personnummer.
Skuldbelopp.
22/25
”Sammanfattningsvis så anser Kronofogden att den skada
som orsakats av intrånget handlar om myndighetens
förtroende hos allmänheten och hos myndighetens kunder.
Även om vissa uppgifter på begäran från allmänheten kan
lämnas ut så skadas myndighetens varumärke av att
informationen finns tillgänglig på nätet.”
23/25
Uppgifter om 500 000 medborgares
skulder.
Inte känsligt.
24/25
Uppgifter om 500 000 medborgares
skulder.
Inte känsligt.
Sekretessbelagda uppgifter om
betalda skulder.
Inte känsligt.
24/25
Uppgifter om 500 000 medborgares
skulder.
Inte känsligt.
Sekretessbelagda uppgifter om
betalda skulder.
Inte känsligt.
Men. . . lite dåligt är väl intrånget
ändå?
Myndighetens varumärke skadas.
24/25
Sensmoral
Om du verkligen vill värna ditt varumärke när du står med
byxorna nere;
25/25
Leif Nixon <[email protected]>
Sensmoral
Om du verkligen vill värna ditt varumärke när du står med
byxorna nere;
strunta i ditt varumärke!
25/25
Leif Nixon <[email protected]>