Årets Historie 2025: Pakkeboks-hackerne håper du har lærte noe
– Håpet vårt er at bransjen nå har lært at man ikke skal bruke RSA-512, sier UnblvR og zup, som fortsatt vil være anonyme.
– Så kult at folk likte artikkelen!
Det sier mannen som på trykk bare vil kalles UnblvR, om at historien rundt pakkeboks-hackingen hans vant Årets Historie 2025 i kode24-prisene.
- UnblvR og hans da ikke-navngitte kamerat, som nå vil stå fram med kallenavnet zup, viste oss hvordan de kunne åpne hvilken som helst luke i en hvilken som helst pakkeboks fra PostNord og Posten fra mobilen.
- Angrepet var mulig blant annet på grunn av en svak RSA-512-nøkkel i pakkeboksene, produsert av danske Swipbox. En stor prosess for å oppdatere alle pakkeboksene var ifølge aktørene nesten ferdig da vi publiserte artikkelen.
- Pakkeboks-angrepet vekket stor oppmerksomhet, og ble også kode24s mest leste artikkel i 2025.
I august i år publiserte kode24 vår store artikkel rundt funnene hans:
Vi nominerte historien til Årets Historie i kode24-prisene, og med flertallet av de 525 stemmene stikker nå pakkeboks-hackerne av med seieren.
Var bekymra
– Målet vårt med å publisere dette i media var å informere brukerne av pakkeboks-tjenestene om sikkerhetshullet, samt å legge litt press på leverandør til å prioritere patching, sier UnblvR og zup til kode24 i dag.
– Ved publisering hadde det gått nesten et halvt år siden første kontakt, og vi var oppriktig redde for at noen med onde hensikter kom til å oppdage sårbarheten på egenhånd.
Men de to har ikke hørt noe som tyder på at kriminelle faktisk har utnyttet svakheten, hverken før eller etter kode24 publiserte funnene. Etter vår artikkel skal også enda flere av pakkeboksene ha blitt oppdatert, som fjerner svakheten.
– PostNord fjernet også min nærmeste pakkeautomat. Det var vel fortjent? humrer UnblvR, som selv jobber innen datasikkerhet.
Håper bransjen har lært
UnblvR og zup har rapportert flere svakheter til Swipbox, og det er noe uklart om alt de har rapportert er fiksa.
– Men flere av disse har blitt mye vanskeligere å utnytte med den eksisterende patchen, sier de to.
For den mest alvorlige svakheten, og bokstavelig talt nøkkelen til angrepet deres, var altså RSA-512-nøkkelen pakkeboksene brukte. Disse ble knekt allerede i 1999, og ble enkelt knekt av de to sikkerhetsfolka i 2025. Oppdateringen av pakkeboksene har nå innført en lengre og sikrere nøkkel.
– Håpet vårt er at bransjen nå har lært at man ikke skal bruke RSA-512. Dernest at det kan være lurt å konsultere noen med kryptografiske ferdigheter før man begir seg ut på å lage en løsning som er avhengig av nettopp kryptografi for å fungere, sier UnblvR og zup.
– Det er veldig lett å skyte seg selv i foten, og angrepene på moderne kryptografiske løsninger blir stadig mer finurlige og avanserte.
Vil fortsatt være anonyme
Til slutt, elefanten i rommet:
Hvorfor vil ikke hverken UnblvR eller zup stille opp med fullt navn i avisa? Vil de ikke ha heder og ære?
– Vi har ikke følt på noe særlig behov for heder og ære. Så lenge vi kan hjelpe til med å øke sikkerheten i landet, er det godt nok for oss. Å stå fram som kunnskapsrik innen sikkerhet i media har også en tendens til å invitere uønsket oppmerksomhet, sier de to.
For ordens skyld kan påpeke at vi i kode24 vet hvem de er. Og i sikkerhetsmiljøet skal de to være mer kjent ved kallenavn enn ekte navn.
– Flere i sikkerhetsmiljøet vet allerede hvem vi er, basert på kallenavn alene, og hadde antageligvis slitt med å skjønne hvem vi var om det bare sto navn, forteller UnblvR og zup.
– Vi spiller en del "Capture The Flag"-konkurranser sammen med andre fra sikkerhetsmiljøet, og der er det gjerne kallenavn som brukes. Slike konkurranser er også det som har gitt oss kunnskap om identifisering og praktisk utnyttelse av sårbarheter, og anbefales sterkt for de som liker både data og å lære nye ting!
