Kriminalvården

svensk myndighet med ansvar för fängelser, häkten och frivård (kriminalvarden.se); i maj 2020 ertappad med ansvarslös hantering av it‑säkerheten. Tv‑programmet TV4 Nyheterna (tv4.se/nyheterna) hade skickat mejl till myndighetens nio högsta chefer med texten att deras lösenord hade gått ut och måste förnyas. En länk för förnyelse av lösenord fanns i mejlet, men gick till en webbsida som nyhetsprogrammets undersökande reportrar bara använde för att registrera anrop. Trots att avsändaren av mejlet uppenbarligen inte fanns på Kriminalvården var det sex av nio höga chefer, inklusive kriminalvårdens säkerhetschef Kenneth Holm, som klickade på mejlet. När TV4 Nyheterna bad Kriminalvården att kommentera avslöjandet anmälde Kriminalvården tv-programmet för dataintrång. – Se TV4 Nyheternas webbsidor: länk.

– In English: The Swedish prison and probation service was in May, 2020, exposed with irresponsible handling of IT security at the agency’s top level. The news program TV4 Nyheterna had sent emails to the agency’s top executives, requesting them to renew their passwords. Although the mail obviously did not come from the agency’s IT department, six out of nine executives, including the head of security, still clicked on the link, which did nothing but register the call. When confronted by the reporters, the prison and probation service reported TV4 Nyheterna to the police for unauthorized access to its IT system. – For more summaries in English, please click on this link.

[it-säkerhet] [myndigheter] [rättsfall och skandaler] [19 maj 2020]

Zoom

  1. – se zoomning, digital zoom och optisk zoom;
  2. Zoom – en amerikansk videokonferenstjänst, grundad 2011. – Zoom tillhandahåller videokonferenser över internet gratis för små grupper av privatpersoner och avgiftsbelagda tjänster för företag. – Under Coronakrisen 2020 ökade användningen av Zoom kraftigt, samtidigt som tjänsten beskylldes för att ha låg säkerhet och dåligt skydd av personlig integritet. Det förekom Zoombombing, vilket innebär att kriminella hackare tar sig in i andras Zoom‑konferenser och förolämpar eller hotar de andra deltagarna. För att kunna göra det behöver de bara ha konferensens webbadress, som är lätt att gissa. – Företagets påstående om att kommunikationen mellan konferensdeltagarna var krypterad visade sig vara felaktig, vilket Zoom så småningom medgav. Installationsprogrammet för Zooms klientprogram för Macintosh har beskrivits som ”malware” eftersom det aktiverar datorns kamera och mikrofon utan ägarens vetskap. Det har också uppgetts att Zoom samlar in personliga data om användarna och säljer dem vidare till Facebook. – Version 5 av Zoom (se pressmeddelande) från april 2020 uppges ha höjd säkerhet. – Se zoom.us. – IDG:s artiklar om Zoom: länk.

[företag] [kameror] [personlig integritet] [skandaler] [videoteknik] [ändrad 26 april 2020]

Crypto AG

ett nerlagt schweiziskt företag som tillverkade krypteringsutrustning. I februari 2020 blev det känt att amerikansk och tysk underrättelsetjänst har kunnat avläsa andra länders krypterade kommunikation med hjälp av särskild utrustning från Crypto AG. Den utrustning som såldes till andra länder än USA och Tyskland hade så kallade bakdörrar som gjorde att CIA och tyska Bundesnachrichtendienst, BND, kunde läsa meddelandena. – Uppgifter om Crypto AG:s koppling till CIA har cirkulerat sedan 1995. Men det var först avslöjanden i Washington Post och tyska tv‑kanalen ZDF i början av 2020 som gjorde kopplingen allmänt känd. Schweiziska regeringen har tillsatt en utredning om saken. – Crypto AG grundades 1952 av den svenska krypteringsexperten Boris Hagelin (1892–1983), men det var en fortsättning på företaget AB Cryptoteknik som grundades i Stockholm 1920 av Arvid Gerhard Damm (1869–1927). Hagelin hade tagit över företaget och av skatteskäl flyttat till Schweiz. Crypto AG såldes 1970 i hemlighet till CIA och BND för 5,75 miljoner dollar. CIA och BND kunde sedan dels tjäna pengar på att sälja kryptoutrustning till andra länder, dels avläsa de ländernas hemliga meddelanden. Operationen, som först gick under täcknamnet Thesaurus, sedan Rubicon, har beskrivits som ”århundradets underrättelsekupp”. Men enligt uppgifter i frisläppta amerikanska dokument hade Hagelin redan 1955 börjat samarbeta med CIA. BND sålde i början av 1990‑talet sin del av Crypto AG till CIA. – 2018 likviderades Crypto AG. Tillgångarna såldes till Crypto International Group (crypto.ch) som ägs av den svenska affärsmannen och krypteringsexperten Anders Linde. Fyra tidigare anställda på Crypto AG har grundat företaget CyOne Security (cyone.ch). Båda dessa företag förnekar allt samröre med CIA eller andra underrättelseorganisationer.

[avslöjanden] [företag] [kryptering] [nerlagt] [skandaler] [underrättelseverksamhet] [15 februari 2020]

picture archiving and communication system

(PACS) – bildhanteringssystem avsett för röntgenbilder, skiktröntgenbilder och andra utrymmeskrävande bilder för sjukvårdens behov. – PACS omfattar digital lagring av sådana bilder och snabb överföring av bilderna över internet eller över dedikerade nätverk. PACS används dels för att man ska slippa lagra bilderna på papper eller plast, dels för att man snabbt ska kunna göra bilderna tillgängliga över långa avstånd. – I september 2019 blev det känt att ett stort antal PACS‑servrar, främst i Tyskland och USA, är eller har varit oskyddade, så att vem som helst har kunnat ladda ner bilder med tillhörande personuppgifter från dem. Förklaringen är att många PACS‑servrar togs i bruk innan det var aktuellt att ansluta dem till internet och att de därför saknar inbyggd IT‑säkerhet. – Se artikel i Computer Sweden. – Läs också om vendor neutral archive – VNA.

[hälsa] [ljud och bild] [skandaler] [ändrad 1 november 2019]

Rekognition

Amazon Rekognition – ett system för ansiktsigenkänning från Amazon, uppmärksammat för att det förväxlar politiker med brottslingar. – Rekognition presenterades 2017. Systemet har använts av amerikansk polis för att spana efter efterlysta brottslingar i folkmassor, men i juli 2019 visade medborgarrättsorganisationen ACLU (aclu.org) att Rekognition pekade ut 26 av 120 delstatspolitiker från Kalifornen som brottslingar. Rekognition hade jämfört foton av de 120 politikerna med foton av häktade brottslingar. Ett liknande experiment gjordes 2018 med foton av federala kongressledamöter (länk). – En av de utpekade politikerna, Phil Ting (philting.com) från San Francisco, har lagt fram ett lagförslag i Kalifornien om att förbjuda polisen att använda ansiktsigenkänning. – Pressmeddelande från ACLU: länk. – Amazons webbsidor om Rekognition – länk.

[biometri] [skandaler] [19 augusti 2019]

Biostar 2

en databas med biometriska data tillhörande det sydkoreanska företaget Suprema (supremainc.com). Suprema hanterar biometriska uppgifter åt många kunder i hela världen. – I augusti 2019 avslöjades att stora mängder data från Biostar 2 hade läckt. Uppgifterna – fingeravtryck och data för ansiktsigenkänning gällande över en miljon människor – hade lagrats okrypterade i en databas av typ Elasticsearch. Informationen används av många företag för inpasseringskontroll och identifiering. Bristen på kryptering innebär att angripare kan ta bort, lägga till, kopiera och ändra uppgifter. – Intrånget, som avslöjades av de israeliska forskarna Noam Rotem och Ran Locar (se denna rapport), publicerades först i den brittiska tidningen The Guardian (länk).

[biometri] [dataläckor] [skandaler] [16 augusti 2019]

kommandorörelse

en tidigare okänd manöver som blev känd i samband med 1177‑skandalen. Enligt det ansvariga företaget Voice Integrate Nordics vd Tommy Ekström, som uttalade sig i en intervju i Dagens Nyheter den 19 februari 2019 (länk, bakom betalvägg), ska det ha varit omöjligt för ”vanliga personer” att komma åt de känsliga personuppgifterna från hälsovården på den oskyddade servern. Men ”de som kan sådant här kunde göra något slags speciell kommandorörelse och slinka in bakvägen”. I själva verket krävdes bara att man hade tillgång till rätt URL. – Uttrycket kommandorörelse blev genast förlöjligat och har blivit ett mem. – Läs också om ”internetsladd”.

[mem] [skandaler] [21 februari 2019]

internetsladd

ett ord som blev spritt och förlöjligat efter 1177-skandalen då den enorma dataläckan förklarades med att ”någon hade stoppat in en internetsladd i hårddisken”. Det var det närmast ansvariga företaget Voice Integrate Nordics vd Tommy Ekström som berättade det i Dagens Nyheter den 20 februari 2019 (se länk, bakom betalvägg). – Internetsladd är ingen etablerad benämning, vanligtvis talar man om nätverkssladd eller Ethernetsladd (eller kabel). Det finns inga speciella internetsladdar. Uttrycket har blivit ett mem. – Läs också om ”kommandorörelse”.

[mem] [skandaler] [ändrad 8 mars 2019]

1177 Vårdguiden

en svensk webbaserad tjänst för kontakter med hälsovården. – 1177 Vårdguiden ger dels möjlighet att få råd och hjälp genom telefon (nummer 1177) och e‑post, dels möjlighet att boka tid för läkarbesök, få recept förnyade och tillgång till annan vårdrelaterad personlig information. – Tjänsten, som tidigare hette Mina vårdkontakter, drivs av Sveriges regioner (före detta regioner och landsting). – Se 1177.se. – I februari 2019 avslöjade Computer Sweden att 2,7 miljoner inspelade konfidentiella telefonsamtal till 1177 Vårdguiden låg på oskyddade och okrypterade servrar där vem som helst kunde ladda ner dem och lyssna på dem. Det gällde regionerna Stockholm, Sörmland och Värmland. Dessutom var de vårdsökandes personnummer och telefonnummer synliga som text. – Det företag som på uppdrag av de tre vårdregionerna hanterar samtal från vårdsökande heter Medhelp (medhelp.se). Medhelp anlitar i sin tur företaget Medicall (medicall.nu) (nere i maj 2020) som finns i Thailand. Det är Medicalls personal som besvarar de vårdsökandes frågor. Den tekniska utrustningen för inspelning och lagring av telefonsamtalen har levererats av det svenska företaget Voice Integrate Nordic (voiceintegrate.com). Den 20 februari 2019 lämnade Medhelp in en polisanmälan mot Computer Sweden för dataintrång och andra brott. Anmälan lades ner i juni 2019. – Se artikel i Computer Sweden. – IDG:s artiklar om 1177 Vårdguiden, se denna länk.

– In English: 1177 Vårdguiden (the healthcare guide) is a Swedish web‑based service for contacting healthcare services. By accessing 1177 Vårdguiden, users can ask for advice and help by phone (dial 1177) or email, make appointments with doctors and nurses, have their prescriptions renewed and have access to their personal healthcare information. The service, which was previously called Mina vårdkontakter, is operated by Sweden’s county councils and regions. – In February, 2019, the web publication Computer Sweden (from IDG) revealed that 2.7 million recorded confidential conversations between users and medical staff were stored without encryption on servers that were accessible to anyone. Phone numbers and personal ID numbers were displayed. – For more summaries in English, please click on this link.

[hälsa] [skandaler] [ändrad 15 maj 2020]

QuadrigaCX

ett kanadensiskt företag som handlade med kryptovalutor. – I början av 2019 blev det känt att företagets kunder inte kunde få ut sina deponerade tillgångar, värderade till sammanlagt 250 miljoner dollar. Orsaken var att företagets grundare och vd, Gerald Cotten, plötsligt hade avlidit i slutet av december 2018, och bara han kände till lösenordet till QuadrigaCX ”kalla plånbok” – enkelt uttryckt det krypterade konto där kryptovalutorna lagrades. Det var främst bitcoin och ether. Företaget ansökte om konkursskydd och i april 2019 sattes det i konkurs. – Det oväntade dödsfallet har gett upphov till spekulationer, till exempel om att dödsfallet skulle vara bluff. Inget sådant har bevisats. – I mars 2019 upptäckte revisorer från Ernst & Young att det inte fanns några pengar på fem av de sex ”plånböcker” som QuadrigaCX hade. På den sjätte fanns motsvarande 500 000 dollar, som uppges ha betalats in av misstag (se denna rapport). – Se quadrigacxtrustee.com.

[företag] [kryptovalutor] [nerlagt] [rättsfall och skandaler] [ändrad 17 september 2019]