Fikk regning på 1,5 millioner kroner da værstasjon løp løpsk: - "Denial of Wallet"-angrep kommer til å øke

- At de i stor grad legger ansvaret på kunden for tekniske feil, med stadig økende kostnad, er trist.

"Dingsen" som abonnementet sto var en våre værstasjoner, forteller Alexander Hatlen. 📸: Tor-Jørgen Ervum/Volue
"Dingsen" som abonnementet sto var en våre værstasjoner, forteller Alexander Hatlen. 📸: Tor-Jørgen Ervum/Volue Vis mer

- Om en bruker bare sovner på F5-tasten, en ondsinnet aktør forsøker å brute-force-angripe tjenesten eller en feil i programvaren på vår side inntreffer, så løper regningen like løpsk som pakkene, sier Alexander Hatlen, sikkerhetsansvarlig i Horten Kommune, til kode24.

I sommer kom det tikkende inn en e-post til Horten kommune fra mobilleverandøren Telenor.

Der sto det at selskapet hadde sperret ett av Horten kommunes data-abonnement. Dette skjedde etter at et abonnement, som lenge hadde holdt seg stabilt i forbruket, hadde "løpt løpsk" og dratt på seg en regning på over 1,5 millioner kroner.

Kommunen slapp heldigvis unna megaregningen. Men Hatlen er kritisk til Telenors håndtering og datapakkene selskapet tilbyr, og frykter at framveksten av "Denial of Wallet"-angrep kan sette andre i samme situasjon.

Har begrenset med logging

Til dags dato vet ikke Horten kommunen nøyaktig hva som har skjedd. Det kommunen vet, er at trafikkmengden ikke kommer fra deres egen tjeneste, men må ha kommet fra nettet og til IoT-enheten.

- "Dingsen" som abonnementet sto var en våre værstasjoner, som normalt sett leverer et fast sett bilder til en leverandør av oss, samt at vi mottar alle værdata inn til kommunens datasenter.

Ifølge Hatlen har slike IoT-enheter begrenset med logging.

- Men vi har gode logger på datatrafikken til datasenteret, og den andre leverandøren vår sjekket sine logger, og datamengden der så normal ut. Det var altså noe abnormalt som trakk så mye data, sier Hatlen.

"Denial of Wallet"-angrep

En av mulighetene er at kommunen har blitt utsatt for "Denial of Wallet"-angrep, forteller Hatlen. Fremgangsmåten har mye til felles med "Denial of Service" (DOS)-angrep, men har først og fremst som mål å forårsake finansiell skade.

- Tidligere fikk et DDoS-angrep ressursene dine til å bli tomme, enten det var datakraft eller nettlinje, og tjenesten sluttet å fungere. I disse dager skalerer alt, så istedenfor å miste tjenesten, pådrar du deg bare potensielt enorme kostnader i stedet, sier Hatlen.

Ifølge Hatlen er det vanskelig å vite om feilen som ga Horten kommune regningssjokk var gjort med vilje eller ei, selv er han usikker og heller mot at det kan ha vært et uhell, men han advarer mot at andre snart kan komme i samme situasjon som dem selv.

- Denial of Wallet-angrep kommer til å øke, ettersom at DDoS er "go to"-verktøyet for dagens hacktivister. Teknikken er helt lik, det er bare at konsekvensen flytter seg fra å ta den tjenester til å påføre direkte kostnad for de du angriper. For veldig mange mål kan det være mer nyttig enn å bare ta tjenesten.

«Det betyr at om du koder deg 10 værstasjoner og en for-loop henger seg opp så må du faktisk betale 140.000 kroner for tabben.»

Fikk ned beløpet

Heldigvis slapp Horten kommune å betale den opprinnelige summen, og fikk kreditert ned regningen til et grensebeløp som Telenor har satt. I sommer, da feilen skjedde, var den på rundt 6.000 kroner.

- Men dette dobles til stadighet, og ligger i dag på cirka 14.000 kroner per abonnement. Det betyr at om du koder deg 10 værstasjoner og en for-loop henger seg opp, så må du faktisk betale 140.000 kroner for tabben. Selv om det er mindre en 15 millioner, så svir det nok for mange, sier Hatlen.

Ifølge Hatlen var et stort problem at løsningen til Telenor var å bytte abonnementstype til noe som koster nesten det dobbelte i faste utgifter, og som krever å bytte SIM-kort.

- I abonnementstypen vi var på så finnes det sperregrenser, men mens abonnementstørrelsene er 500MB, 5GB, 10GB, 50GB og 100GB, så er alternativene for sperrer 150MB, 2GB og 100GB. Det føles litt som noen har lagt frem en felle, sier Hatlen.

Kritiserer Telenor

Hatlen sier at det ikke hjelper at det er flere abonnementstyper for data-abonnement - ennå alt er TCP/IP, så har de totalt forskjellige prismodeller og tilleggsprodukter.

- Det vi har gjort, er å revidere alle våre abonnementer og se at de er på riktig sted, satt på sperrer der vi kan, der abonnementstypen tillater nyttige sperregrenser, samt skrenke ned i brannmur på enhetene så de ikke er eksponert mot internett på en måte som gjør at andre kan trigge datatrafikk-forbruk.

Hatlen er veldig fornøyd med Telenors reklamasjonsavdelings håndtering av saken.

- Det jeg er kritisk til er hvordan de har skapt så mange produkter rundt det å flytte IP-pakker over mobilnett.

Han legger til at både type abonnement, databøtter, sperregrenser og annet gjør det vanskelig å velge riktig for forbrukeren.

- Det at de også i stor grad legger ansvaret på kunden for tekniske feil, med stadig økende kostnad for uheldige kunder, er trist. Jeg må også presisere at dette er et generelt mobildata-problem, så det er ikke bare de med Telenor dette vil være problem for, det er like aktuelt uansett operatør.

Ser sjeldent Denial of Wallet

Julie Hæhre, informasjonssjef i Telenor, sier at kostnaden Horten kommune har betalt skyldes at de aktivt har valgt denne avtalen.

- Vi har ulike kunder med ulike behov, og derfor tilbyr vi også forskjellige avtaler. For noen kunder vil dette produktet være riktig, andre kunder er tjent med å bytte til andre avtaler, sier Hæhre til kode24.

Hun legger til at Telenor i dette tilfellet har anbefalt kunden å velge produktet IoT Total, der man ikke blir sperret og heller aldri vil betale ekstreme priser for overforbruk.

- Datapakker og pris blir automatisk tilpasset kundens faktiske dataforbruk fra måned til måned. Listepris for dette produktet ligger litt over prisen de betaler i dag, men vil spares inn på faktisk forbruk og kostnader knyttet til overforbruk. Det er en liten investering, for å unngå ubehagelige overraskelser, sier hun.