Quickbit: dataincident med kundinformation

STOCKHOLM (Nyhetsbyrån Direkt) Fintechbolaget Quickbit EU, som utvecklar tekniklösningar för kryptovalutor och blockchain, har notifierats av externa säkerhetsexperter om att viss data har haft ett undermåligt skydd.

"Bolaget har omedelbart vidtagit nödvändiga åtgärder för att säkra det berörda systemet. Vår egen initiala utredning visar att varken Quickbit eller bolagets kunder har åsamkats skada", skrev bolaget i ett pressmeddelande efter de svenska finansmarknadernas stängning i fredags.

Quickbit EU uppgav i ett nytt pressmeddelande på måndagen att incidenten var begränsad till ett dataflöde.

"Varken bolaget eller dess kunder har åsamkats ekonomisk skada", uppges det.

Quickbit har nyligen tagit i bruk ett tredjepartssystem för kompletterande säkerhetskontroll av kunder. I samband med att detta system har levererats har det under några dagar funnits på en server som varit synlig utanför Quickbits brandvägg, och därmed åtkomlig för den som har rätt verktyg.

Under leveransperioden har en databas varit exponerad med information om namn, adress, e-mailadress samt trunkerade (ej kompletta) kortuppgifter för cirka 2 procent av Quickbits kunder, uppger bolaget.

Inga lösenord eller personnummer har dock exponerats, inga kompletta konto- eller kreditkortsuppgifter har exponerats, ingen kryptovaluta eller nycklar för sådan har exponerats och inga finansiella transaktioner har berörts, uppger bolaget.

"Våra centrala databaser med kunduppgifter och lösenord har EJ varit åtkomliga", uppges det.

Quickbits tekniker har omedelbart vidtagit åtgärder för att säkerställa att samtliga servers skyddas bakom brandväggar, samt förhindra möjligheten till liknande incidenter.

"Vi vill betona att den data som varit åtkomlig ej kan användas för att skada vare sig bolaget eller dess kunder", skriver Quickbit EU som framhåller att datasäkerhet är att största vikt för bolaget.

"Detta pressmeddelande skrivs utifrån en intern incidentrapport. Leverantören av tredjepartssystemet har involverats för att bedöma datasäkerheten samt hjälpa oss förstärka våra rutiner. Vi kommer att offentliggöra en publik version av incidentrapporten på vår hemsida inom kort", meddelas det.

På måndagen har webbtidningen Comparitech, som avslöjade säkerhetsbristen tillsammans med IT-säkerhetshetsexperten Bob Diachenko, publicerat en artikel med mer detaljer kring händelseförloppet.

"En Quickbit EU-databas med mer än 300.000 noteringar lämnades öppen så att vem som helst online kunde se innehållet", skriver Comparitech.

Databasen indexerades av sökmotorn Shodan den 28 juni. Ett par dagar senare, den 2 juli, upptäcktes den exponerade datan av Bob Diachenko som informerade Quickbit EU. Inom 24 timmar, oklart exakt när, togs databasen ned.

"Datan innehöll 301.470 händelse-noteringar. En händelse avser sannolikt en transaktion som har skett via plattformen", skriver webbtidningen.

Informationen om varje transaktion innefattande följande:

Fullständigt namn

Fullständig adress

E-postadress

Kön

Profil-nivå (Guld, silver eller brons)

Födelsedatum

Betalningsinformation (typ av kreditkort samt första sex och sista fyra siffrorna)

Källvaluta och målvaluta (exempelvis dollar till bitcoin)

Transaktionsbelopp

"Utöver dessa noteringar fann vi även 143 noteringar med interna referenser, däribland handelsaktör, hemliga nycklar, namn, lösenord, hemliga fraser, användar-ID och annan information", skriver Comparitech som anser att den kanske allvarligaste delen av läckan är dessa 143 noteringar.

Vissa skillnader kan således noteras mellan hur Quickbit EU beskriver incidenten och hur Comparitech beskriver den.

Inför listningen av aktien för Quickbit EU på handelsplattformen NGM Nordic MTF intervjuade Nyhetsbyrån Direkt bolagets vd Jörgen Eriksson och tog bland annat upp att handelsplattformar och andra aktörer med kopplingar till kryptovalutor har drabbats av bedrägerier.

Hur ser ni på risken för att det ska drabba er?

"Blockkedjor i sig går inte att manipulera eftersom det är en distribuerad databas. Det som kan hända är att kryptovaluta blir stulen när man har den i sin 'plånbok' online. För att komma åt sin plånbok och göra en betalning behöver man lösenord som kan bli stulna. Lösenorden är komplexa och svåra att knäcka, men lösenord kan stjälas och då tappar man kontrollen på sin kryptovaluta. Bedrägerier i kryptovalutasammanhang bygger nästan uteslutande på att någon kommer över de lösenord som används", svarade Quickbit-chefen då.

"Men det är en bisak - säkerheten kommer att bli bättre och bättre. Det kommer tekniska dosor för att hantera nyckeln, precis som det finns tekniska dosor för att göra betalningar hos banker", resonerade han.

Vidare ansåg Jörgen Eriksson att Quickbit EU har väldigt bra system för att känna igen bedrägeriförsök när kunder försöker köpa kryptovalutor av bolaget via betalkort.

"Vi har system för att känna igen mönster kring försök till bedrägerier. Vi avvisar över 30 procent av alla försök till köp genom oss. Därmed inte sagt att dessa alltid är bedrägeriförsök. Det kan handla om att information saknas och att kunden inte ger oss den", sade Quickbit-chefen i intervjun i mitten av juni.