I det fynske folks tjeneste

To fynske biblioteker på listen: Hackere bruger spionudstyr og tømmer bankkonti

Flere biblioteker har opdaget spionudstyr på deres computere. To fynske er blandt. Foto: Morten Germund / Ritzau Scanpix

I samarbejde med TV2.dk

Hackere sidder ikke altid kilometer væk skjult bag en internetforbindelse - mindst 15 biblioteker har været ramt af såkaldt fysisk hacking. To fynske biblioteker er med på listen.

Et større antal danskere er blevet afluret, da de brugte computere på biblioteker rundt om i Danmark. 
Hackere har nemlig været inde på bibliotekerne, hvor de har installeret en form for spionudstyr – de såkaldte keyloggere - i forlængelse af tastaturledningerne på maskinerne på mindst 15 biblioteker.

Ifølge TV 2 er to biblioteker i Odense med på listen over de steder, hvor der er fundet spionudstyr på computerne. Det drejer sig om Bolbro Bibliotek og Tarup Bibliotek.

Keyloggerne registrerede alt, hvad der blev tastet på computerne og dermed fik hackerne en kopi af de koder, som brugerne skrev til alt fra Facebook til NemId.

For omkring 18 af de mange danskere, der er blevet afluret, betød det, at deres bankkonti blev tømt. En af dem var Kim Vinther Pedersen. 

Kim Vinther Pedersen er en af de danskere, der blev hacket efter at have brugt bibliotekets computer. Foto: TV 2

- Det er skræmmende, at det sker på landets biblioteker. Man har sovet i timen. 165.000 kroner tog de fra min lønkonto og prøvede at sælge aktierne også - så de har jo tømt kontoen. Rub og stub. Det var en voldsom oplevelse. Det er personnummer, det er alle ens koder – også dem fra banken. Jeg var rasende, siger Kim Vinther Pedersen i dokumentaren ”Hackerne angriber os”, som TV 2 viste torsdag aften.

Ved at bruge keyloggere er det samlet lykkedes hackere at stjæle op mod syv millioner kroner fra danskere.

Får USB-nøgle i bibliotekarens maskine

Hackere tager ofte pågående metoder - som installation af keyloggere - i brug for at skaffe sig personlige oplysninger og kontrol over bankkonti. Og det er ikke ualmindeligt, at de prøver at skaffe sig fysisk adgang til de steder, de gerne vil hacke.

I dokumentaren ”Hackerne angriber os” afprøver en gruppe professionelle hackere sammen med TV 2 IT-sikkerheden i to kommuner. De bruger de samme metoder som kriminelle hackere, så de forsøger sig også med fysisk hacking for at få fingre i borgernes personlige oplysninger.

I Bornholms Regionskommune går hackerne på biblioteket og sætter USB-nøgler med ondsindet kode i en række af publikumsmaskinerne. De sniger sig også om bag ved bibliotekarens skrivebord og sætter en USB-nøgle i hans maskine, da han forlader sin plads.

Disse biblioteker har bekræftet overfor TV 2, at de har fundet spionudstyr i form af de såkaldte keyloggere på deres computere:

  • Horsens Bibliotek
  • Højbjerg Bibliotek (4 stk.)
•Risskov Bibliotek (1 stk. og 4 software keyloggere)
•Egå Bibliotek (1 stk.)
•Harlev Bibliotek (1 stk.)
•Viby Bibliotek (2 stk.)
•Solrød Bibliotek
•Aabenraa Bibliotek (4 stk.)
•Åby Bibliotek (3 software keyloggere)
•Haderslev Bibliotek (2 stk.)
•Hørsholm Bibliotek (2 stk.)
•Bolbro Bibliotek
•Tarup Bibliotek

•København – to filialbiblioteker har været ramt, men Københavns Kommune ønsker ikke at oplyse, hvilke der er tale om.

De adgange hackerne får skabt på denne måde giver dem senere adgang til dele af kommunens netværk – nemlig undervisningsnettet, hvor folkeskoleelevernes private mapper med filer ligger.

Morten Klitgaard Friis, der er cybersikkerhedsrådgiver i KPMG, siger, at det er usædvanligt, at man kan få den type adgang ved at bruge de computere, der er offentligt tilgængelige.

CPR-numre i skraldespanden

Den største skatkiste af personoplysninger får hackerne dog adgang til, da de løfter låget på en kommunal skraldespand.

Her ligger store mængder særdeles personfølsomme oplysninger - blandt andet lægeerklæringer, fortrolige referater og psykologvurderinger af borgere. Dokumenter, der detaljeret beskriver et antal udsatte borgeres situation.

Der er også mange lister med CPR-numre i skraldet.

- Med de her papirer ville vi i morgen kunne gå efter 100-200 personer og foretage indkøb ved at benytte deres CPR-numre og de ville ikke finde ud af det, før de fik besøg fra et inkasso-firma, fortæller konsulent Andreas Bang Laursen fra KPMG, der er en af de hackere kommunen havde givet lov til at afprøve deres sikkerhed.

Hans kollega Tom Wearing tilføjer:

- Man ville kunne være ret ond med det her. Hvis man finder noget, de ikke vil have frem, så kan det bruges til afpresning eller til at tvinge dem til at foretage sig ting. Man har meget magt med så meget information.

Ærgrer kommunen

Det ærgrer Bornholms Regionskommune, at det var muligt at skaffe så følsomme oplysninger på denne måde.

- Det er klart materiale, der skulle have været makuleret. Pokkers også. Jeg kunne godt mærke i maven, at det ønskede jeg mig ikke at se. Det er noget, vi har haft fokus på for et antal år siden, og jeg var vel af den overbevisning, at det ikke længere var et problem, siger IT-chef Claus Munk fra Bornholms Regionskommune.

Ved du noget? Så send os et tip