EDC afpresses: Betal, eller 700.000 kunders data lægges på internettet

EDC ser ind i et historisk stort læk af danske pas og personoplysninger, der kan bruges til at udsætte danskere og deres virksomheder yderligere for svindel. Ekspert advarer mod at betale løsesummen.

EDC har været ramt af et hackerangreb.

Erhverv

20. nov. 2023 kl. 09.15

2,5 terrabytes, herunder 700.000 kunders persondata, 100.000 cpr-numre og op mod 1.360 personers pas, kørekort og sygesikringsbeviser.

Det er den svimlende mængde data om ejendomsgiganten EDC, som den russiske hackergruppe BlackBasta nu truer med at offentliggøre.

Det bekræfter selskabet over for Finans, efter at Blackbasta har truet ejendomsgiganten.

Annonce

Truslen er blevet slået op på det mørke internet med en nedtælling, der i skrivende stund står på fem dage og tre timer. Og for at understrege alvorligheden er små bidder af de lækkede data allerede blevet offentliggjort.

»Der er tale om hvidvaskdokumentation. Altså kørekort, sygesikringer og pas, og det er informationer, der har en stor værdi, hvis man vil svindle eller lave identitetstyveri,« vurderer Jacob Herbst, der udover at være teknisk direktør i sikkerhedsfirmaet Dubex sidder i Danmarks nationale cybersikkerhedsråd.

»Det skulle undre mig, om hackerne ikke prøver at bruge det til identitetstyveri eller at videresælge oplysningerne. De er lykkedes med at stjæle virkelig mange persondata fra EDC. De mange data kan blandt andet bruges til effektive identitetstyverier, hvor man nu kan målrette angrebet med oplysninger om offeret,« siger Jacob Herbst.

Annonce

EDC oplyser til Finans, at den lige nu ligger i forhandlinger med hackerne, som har krævet en løsesum på 6 mio. dollars ifølge DR.

»Der er tale om hårdkogte russiske kriminelle, og som du kan se, er vi midt i en forhandlingssituation. Der er derfor ingen grund til at spille dem kort på hånden. Så detaljer om vores forhandlingsstrategi kan jeg ikke give lige nu,« siger kommunikationschef i EDC Jan Nordmann, der ikke ønsker at oplyse, om mæglerkæden agter at betale hackerne, eller hvad de forlanger.

»Vi er i kontakt med hackerne, og vi er bekendt med, at de truer med at offentliggøre vores data,« siger Jan Nordmann.

Det er nu mere end to uger siden, at angrebet ramte selskabet d. 1 november midt om natten, hvor dele af EDC’s hjemmeside gik ned, hvilket satte en række alarmer i gang.

Indholdet fortsætter efter annoncen

Annonce

»Kort efter finder vi ud af, at der er tale om et hackerangreb, og tilkalder specialister fra it-sikkerhedsfirmaet CSIS. Al vores it var nede i knap syv dage, før vi havde nok styr på det til at kunne åbne igen. På ottendedagen havde vi også nogenlunde styr på, hvad de kriminelle havde kopieret,« siger Jan Nordmann.

Han fortæller også, at der den dag i dag stadig er interne systemer og processer, der ikke er helt oppe at køre.

»Det skyldes især, at omkring halvdelen af vores 270 butikker havde deres egne interne ting liggende lokalt, og de servere åbner vi først, når vi er sikre på, at vi kan gøre det sikkert. Det er et relativt stort arbejde at gennemgå dem én ad gangen,« siger Jan Nordmann, der fortæller, at de mange pas, kørekort og sygesikringer kom ind i EDC gennem et opkøb i et af koncernens selskaber.

Annonce

Derfor anede EDC ikke, data lå der, før de blev stjålet.

»Alle de 1.363 har ikke fået en særlig besked, men vi er i gang med at opspore dem, så godt vi nu kan,« siger Jan Nordmann, der fortæller, at det besværliggøres af, at det ikke er dem alle, der nogensinde har været kunder i EDC.

Ifølge CSIS, der som firma har hjulpet EDC efter angrebet, giver det god mening at gå ind i en forhandling med ransomware-kartellerne af flere årsager.

»Det giver mening at forhandle med ransomware-aktører, uanset om man har tænkt sig at betale eller ej. For eksempel påstår ransomware-aktører tit, at de har stjålet en konkret type data, de i løbet af forhandlingen må indrømme, de ikke har. Man kan ikke regne med dem, og de bluffer ofte,« siger Jan Kaastrup, der er partner og teknisk direktør i CSIS.

Annonce

Han fortæller desuden, at ejendomsmæglere er et særligt saftigt mål for hackere.

»Hackerne ved, at den slags selskaber er forpligtede til at opbevare mange data om deres kunder,« siger Jan Kaastrup, der roser EDC for at stå frem og give CSIS lov til at kommentere sagen.

»Alt for mange holder det for sig selv, når de bliver ramt, men den eneste måde, vi kan modstå truslen fra ransomware på, er ved at stå sammen,« siger Jan Kaastrup og opfordrer andre til at stå frem.

EDC skal dog tænke sig godt og grundigt om, inden den betaler BlackBasta for ikke at offentliggøre de mange persondata, vurderer Jacob Herbst.

»Jeg anser betaling som absolut sidste udvej, såfremt meget kritiske data ellers er tabt, og det vil meget sjældent give mening, når det drejer sig om truslen om offentliggørelse. For selv om data ikke lægges op til offentligt skue, kan de stadig finde på at lække dem andre steder på nettet. Så det er altid at gamble, hvis man som virksomhed beslutter sig for at betale i ransomware-sager,« siger Jacob Herbst.

EDC’s kommunikationschef, Jan Nordmann, understreger, at man ifølge hans vurdering ikke skal være bange, hvis man er en del af lækket.

»Man kan ikke bruge de her data til noget alvorligt. Man kan ikke optage lån, og man kan ikke komme ind på MitID,« lyder det fra kommunikationschefen.

Det er Jacob Herbst ikke helt enig med ham i.

»Vi ser konkret, at den her slags informationer bliver brugt derude, og at der bliver handlet med dem på det mørke net. Det ville der ikke være et marked for, hvis den slags ikke havde en konkret værdi for de kriminelle,« siger Jacob Herbst.

Det er hverken første eller sidste gang, at en dansk virksomhed afpresses af ransomware-karteller, der er lykkedes med at stjæle store mængder data.

Tilbage i slutningen af 2021 blev Vestas ramt af et lignende angreb, hvor hackerne netop først forsøgte at kryptere selskabets filer. Da Vestas havde styr på backuppen, prøvede de efterfølgende at true med at offentliggøre topledelsens pas samt en stor mængde følsomme virksomhedsoplysninger.

»Angrebet lyder til at være foregået fuldstændig efter ransomware-gruppernes almindelige drejebog med dobbelt afpresning, altså både låsning og tyveri af data. Når det er sagt, så er det tydeligt, at de kriminelle er kreative og konstant finder nye og mere effektive måder at afpresse virksomheder på. Vi ser for eksempel oftere, at de slet ikke krypterer og låser data hos ofrene men kun stjæler data og truer med at offentliggøre dem, hvis man ikke betaler, da det er nemmere at gennemføre og mange gang nok til, at ofrene betaler,« siger Jacob Herbst.

»Det er ren forretningsudvikling.«

Finans arbejder på at få en kommentar fra Datatilsynet.

EDC afpresses: Betal, eller 700.000 kunders data lægges på internettet

Arbejder hårdt hver dag: Enmandshær tjener 38 mio. kr. på våben

Folketingspolitiker kan slippe for stort millionkrav

Arbejder hårdt hver dag: Enmandshær tjener 38 mio. kr. på våben

Folketingspolitiker kan slippe for stort millionkrav

Iran genindfører »streng kontrol« med Hormuzstrædet

Beskyldt for pengemisbrug: Nyt folketingsmedlem risikerer at gå personligt konkurs

Første større gruppe af skibe sejler gennem Hormuzstrædet

Dommer har talt: CIP's milliardprojekt kan fortsætte

Iran åbner Hormuzstrædet: Der går dog længe, inden skibe når frem

Tidligere Mærsk-boss: »Det er slut med onkel- og tantebestyrelser«

Juicekæde firedoblet i værdi på 2,5 år: Her er beløbet, som Abu Dhabi-investor har betalt

Topjob

Nyuddannet aktuar til Aktuariatet i PenSam

Senior specialist i beredskab og krisestyring til Sampension

Projektleder

Projektleder til Control Systems

Produkt- samt datakvalitetsaktuar til Aktuariatet i PenSam

Økonomi- og administrationsansvarlig

Erhvervsrådgiver

IGA-specialist til adgangsstyring og rollemodellering

Driftschef

Kreditcontroller

Formand/værkfører til svejseafdeling