Garmin nede: oppdateringer om nedetiden forårsaket av et bekreftet dataangrep
Garmin bekrefter stort dataangrep på sine plattformer
Oppdatering 28/7: Garmin sier at de ble utsatt for et «dataangrep», men har ikke bekreftet hvorvidt det var snakk om et løsepengevirus. Kilder som har vært i snakk med nyhetssider har sagt at Garmin ikke har gjort noen direkte overføringer av penger til angriperne, noe som vitner om at selskapet har klart å gjenopprette dataene fra sikkerhetskopier.
Det er ingen tegn på at brukerinformasjon kom på avveie, og selskapet jobber nå på spreng for å får tjenestene sine til å fungere som normalt i dagene fremover.
Garmin har bekreftet at nedetiden som har rammet selskapet siden 23. juli har vært grunnet et dataangrep, og driften av tjenesten skal gå tilbake til normal drift snart.
Tidlig i prosessen ble det hele omtalt som en vedlikeholdsperiode, men mengden tid det tok før brukere kunne laste opp informasjon om løpeturer og annen trening, eller få tilgang til flydatabaser og sjøfartsnavigasjon viste at dette egentlig var et mye større problem.
Garmins uttalelse finner du nedenfor:
«Garmin annonserte i dag at selskapet har vært offer for et dataangrep som kryptere noen av våre systemer den 23. juli, 2020. Som et resultat av dette ble mange av de tilknyttede nettjenestene forringet, inkludert funksjoner på nettsider, kundestøtte, applikasjoner brukt av kunder samt intern kommunikasjon.
Vi begynte umiddelbart med evaluering av angrepets natur, og hvordan konsekvensene skulle rettes. Vi har ingen indikasjoner på at kundedata, inkludert betalingsinformasjon fra Garmin Pay, ble avlest, kom på avveie eller ble stjålet.
I tillegg er det slik at funksjonaliteten hos Garmin-produkter ikke ble påvirket, annet enn at man hadde problemer med tilgangen til disse.
Systemer som ble påvirket under angrepet er i ferd med å utbedres og vi forventer at driften kommer til å returnere til normalen i løpet av noen dager. Vi forventer ingen vesentlige konsekvenser i driften eller i de økonomiske resultatene grunnet denne nedetiden.
Siden våre systemer utbedres forventer vi en del forsinkelser, siden vi har en del informasjon som venter på å bli prosessert. Vi takker for våre kunders tålmodighet og forståelse knyttet til denne hendelsen, og ser frem til å fortsette å tilby den eksepsjonelle kundeservicen og støtten som har vært vårt kjennetegn og vår tradisjon.»
We’d like to thank all of our customers for your patience and understanding. For more information, please visit https://t.co/U3vwBre4U2.July 27, 2020
Hvordan skjedde dette?
Opprinnelig merket Garmins brukere en særlig lang nedetid der man ikke hadde mulighet til å få kontakt med en rekke tjenester. En tvitring bekreftet så at merket «opplever en nedetid som påvirker Garmin Connect, og på bakgrunn av det er også Garmin Connect-nettsiden og mobilappen nede per nå.»
Rykter begynte å svirre om at Garmin var utsatt for et stort såkalt løsepengervirus-angrep (ransomware), noe som hadde betydd at selskapet ville måtte ha ta ned hele plattformen.
TechRadar tok kontakt med selskapet 48 timer etter at nedetiden startet og fikk en uttalelse som bekreftet at hele operasjonen var nede:
«Garmin opplever per nå en nedetid som påvirker Garmin-tjenester, inkludert Garmin Connect og Garmin Pilot. Som et resultat av nedetiden ble en del funksjonalitet og tjenester på disse plattformene utilgjengelige for kunder. I tillegg ble callsentrene for produktstøtte påvirket av nedetiden, og dermed var det ikke mulig for oss å motta telefonsamtaler, e-poster eller chat.
Vi jobber med å gjenopprette våre systemer så fort som mulig, og beklager for det resulterende besværet. Flere oppdateringer kommer når de blir tilgjengelige.»
Selskapet sendte så TechRadar i retning en kort svarside som forklarer hvordan nedetiden til Garmin Connect ikke har hatt noen påvirkning på brukerdata – der hovedresponsen til hvordan brukerdata ble påvirket burde stille de fleste brukeres bekymringer:
«Garmin har ikke fått noen indikasjoner på at denne nedetiden har hatt noen påvirkning på dine data, inkludert aktivitet, betalinger eller annen personlig informasjon».
Mandag, 27. juli, etter fire dager med problemer for Garmin Connect og tilknyttede tjenester, begynte synkronisering med og tilknytning til databasene å komme tilbake, og treningsmerket innrømte at de hadde vært utsatt for et stort dataangrep.
Få daglig innsikt, inspirasjon og tilbud i innboksen din
Registrer deg for siste nytt, anmeldelser, meninger, toppteknologiske tilbud og mer.
Hva er det som faktisk skjer?
Det er interessant å merke seg måten Garmin beskrev angrepet på, der uttalelsen var «[…] utsatt for et dataangrep som krypterte noen av våre systemer.»
Det virker sannsynlig at dette er et løsepengevirus, men merket har unngått å bekrefte at et krav om løsepenger har blitt sendt, slik at selskapet kunne få tilbake tilgangen på brukerdata og databaser.
Likevel har flerfoldige medier snakket med kilder som har hevdet å ha direkte tilgang til kunnskap om emnet, eller til Garmin-ansatte, og har forklart at en stor løsepengesum ble krevd i bytte mot at store deler av systemet skulle bli låst opp, og at kriseløsninger hadde blitt satt i kraft for å beskytte Garmins plattformer.
Kilder i samtaler med BleepingComputer sa at førstehåndskilder med kunnskap om emnet bekreftet at dette var et løsepengevirus-angrep som låste deler av Garmins system. Skal man dømme etter skjermbilder som angivelig skal stamme fra Garmin-ansatte, ble filer låst under tittelen «GarminWasted», og det virker som om angriperne forlangte løsepenger for å låse opp hver enkelt fil.
Det virker lite sannsynlig at Garmin har betalt løsepengene for å låse opp filene sine. Løsepengeviruset det er snakk om, WastedLocker, tror man opereres av en russisk gjeng ved navn Hacking Corp, som, ifølge Sky News, ble straffet av det amerikanske Finansdepartementet i fjor på bakgrunn av at gruppen hadde utført «to av de verste hacking- og bank-svindlene det siste tiåret.» Dette gjør at personer i USA ikke kan utføre en finansiell transaksjon med de ovennevnte kriminelle personene.
Det er ikke klart hvorvidt dette gjelder både bedrifter og individer, men anonyme kilder i kontakt med Sky sier at Garmin ikke har utført noen direkte betalinger til sine angripere i bytte mot data.
Ifølge den ovennevnte kilden til BleepingComputer stengte Garmin ned enheter i et datasenter for å unngå kryptering, så det er mulig at dette førte til at sikkerhetskopier ble isolert og dermed reddet.
ZDNet siterer en artikkel fra den taiwanske teknologisiden iThome, som hevder at en beskjed ble sendt til Garmins taiwanske produksjonsanlegg, der det sto at «servere og databaser» var under angrep, og at produksjonen skulle stenges ned i to dager for vedlikehold.
Syklister og løpere kan ha blitt noe frustrert under nedetiden, men det virker som om Garmin prioriterte mer essensielle tjenester når gjenopprettingsprosessen endelig kom i gang.
Pilotprogramvaren og navigasjonsdatabasen FlyGarmin (brukt i navigasjonssystemer laget av Garmin) ble også påvirket av nedetiden, og resulterte etter sigende at en del fly ble værende på bakken. På en status-side knyttet til FlyGarmin, som ble oppdatert søndag, 26. juli, kom det frem at Garmin Pilot Apps, FlyGarmin, Connext Services og FltPlan.com alle per 26. juli var i drift.
Lesere tok kontakt med TechRadar med sine opplevelser, og en bruker fortalte oss: «Garmin Golf er nede, appen kan ikke brukes på smarttelefoner, så ingen kart eller golf GPS, og man kan ikke bruke golf-GPS-appen på klokker heller, fordi de ikke kan kople seg til Connect.»
Det virker som om også dette problemet har blitt utbedret, ifølge Garmins statusside, som nå viser at Garmin Golf skal være oppe og gå.
Nedetiden hadde også innvirkning på tredjepartsapplikasjoner som bruker data fra Garmin. Stravas målinger viste at opplastinger fra Garmin Connect ble kuttet helt den 23. juli – og at totalmengden Strava-opplastinger ble redusert med over en tredjedel under nedetiden.
Aktiviteter som tas opp av Garmin-enheter begynner nå å synkroniserer med Strava, men brukere har blitt advart om at den enorme mengden trafikk betyr at det kan ta over en uke før all treningen er ferdig lastet opp. Hvis du ikke kan vente så lenge finnes det likevel funksjonalitet som gjør at man kan laste opp til Strava manuelt.
Er dataene mine trygge?
Noen nyhetssider diskuterte muligheten for at historiske data kunne ha forsvunnet fra Connect-databasen, noe som førte til spekulasjoner om at brukerdata hadde kommet på avveie.
Det er dog ingenting som tyder på at sensitiv informasjon har blitt tatt av hackere – Garmin bekreftet etter 48 timer at det ikke fantes noen indikasjoner på at nedetiden hadde hatt noen innvirkning på dataene de sitter på, inkludert personlig informasjon, betalingsinformasjon og informasjon om aktivitet. Dette i en uttalelse som samtidig bekreftet at selskapet hadde blitt utsatt for et dataangrep.
I en artikkel skrevet av TechCrunch, der to kilder blir sitert på at de har «direkte kunnskap om hendelsen», sier at dette angrepet var forårsaket av WastedLocker-løsepengeviruset. Artikkelen stadfestet at denne typen løsepengevirus ikke later til å kunne stjele eller anskaffe seg data fra låste filer.
Dette betyr at om Garmin hadde gode sikkerhetskopier før angrepet fant sted – og det at ting later til å være tilbake på rett spor kan være en indikasjon på at dette er tilfellet – så kan bruker-informasjonen være trygg.
De daglige dataene man samler opp under nedetiden lagres på din egen enhet – om det er snakk om såkalt body battery, stressnivå eller skrittelling – og disse dataene vil sakte synkronisere med Garmins servere i de kommende dagene.
Når tjenesten er hundre prosent oppe og gå vil alt dette bringes tilbake inn i Connect-appen, slik at du får full oversikt over det fysiologiske.
Hva er et løsepengevirus?
Garmin har bekreftet at selskapet var offer for et dataangrep, og selv om selskapet ikke har kommet med noen detaljer om angrepet sa begge kildene sitert av BleepingComputer den 23. juni (som man mener kan være personer tett på hendelsen, og Garmin-ansatte) at løsepengevirus var verktøyet som ble brukt.
«Løsepengevirus-angrep er skremmende vanlig», sier datasikkerhetsekspert Graham Cluley til TechRadar. «Dette har vært en av de mest tallrike typene datakriminalitet de siste årene. Gjerningspersonene slår til mot både individer og organisasjoner, og har noen ganger gitt de kriminelle millioner av dollar.»
Løsepengevirus er en type skadelig programvare som krypterer viktige filer, og dermed gjør dem ubrukelige, og man får kun dekryptert filene hvis man betaler løsepenger (normalt sett med Bitcoin, slik at pengene ikke kan spores.)
«Selvfølgelig har ikke alle råd til betale – noe som betyr at man ikke bare mister verdifult arbeid, men også uerstattelige filer med sentimental verdi, som eksempelvis familiebilder», sier Cluley. «Moralen i historien? Ta sikkerhetskopier, og forsikr deg om at de fungerer.»
«Dessverre finnes det også andre farer med løsepengevirus, som har blitt mer vanlig i det siste året eller så. Det er når angriperen ikke bare krypterer selskapets data, men også stjeler det, og truer med å gi materialet ut på nettet, eller selge det til andre datakriminelle hvis selskapet ikke betaler løsepengene.»
«Hvis det er tilfellet kan en sikkerhetskopi få selskapet i drift igjen – men det løser ikke det grunnleggende problemet, der en datalekkasje kan skade firmaet og dets kunder.»
Ifølge BleepingComputers kilder kan Garmin ha blitt rammet av en type løsepengevirus kjent som WasterLocker, utviklet av en gruppe som kaller seg Evil Corp.
Malwarebytes forklarer at WastedLocker-angrep er laget spesielt for å ta sikte på enkelte organisasjoner, og at løsepengesummene ikke er av det rimelige slaget, gjerne Bitcoin-verdier mellom $50 000 (omlag 450 000 kroner) og $10 000 000 (omlag 91 millioner kroner.)
Hva betyr dette for Garmin?
Siden Garmin nå har bekreftet angrepet, og selskapet skal avgi finansrapport den 29. juli, vil både kunder og investorer være interesserte i å høre forsikringer om at både systemene og dataene er sikre.
«Skaden Garmin kommer til å ta på sikt som følge av dette angrepet kan ikke bli undervurdert», sier Geoff Blaber, visepresident for forskning hos markedsanalytikerfirma CCS Insight til TechRadar.
«Garmin er kjent for maskinvaren sin, men dette gir litt innsikt i rollen programvare og back-end-infrastruktur spiller når det gjelder støtte til brukere i alt fra luftfart, via sykling til løping. Data er et område der selskaper prøver å skille seg fra hverandre, men når man ikke får tilgang til tjenestene kommer man uungåelig til å stille spørsmålstegn ved verdien Garmin tilbyr.
For mange treningsentusiaster er Strava plattformen som virkelig betyr noe, og Garmin Connect som fungerer som en bro som synkroniserer aktivitetene. Dette vil øke volumet på krav om en mer strømlinjeformet opplevelse der det synkroniseres direkte til Strava, og gir brukere et valg om hvorvidt de skal bruke Connects mer ekspansive funksjonalitet.
Garmin kommer nærmest garantert til å være nødt til å rapportere detaljene i akkurat hva som ble blottgjort, og hvordan. I Europa spesifikt gjør General Data Protection Regulation (GDPR) at Garmin kommer til å være helt og holdent ansvarlige.»
Men, hvordan kan jeg laste opp til Strava?
Garmins aktiviteter har begynt å synkronisere til tredjeparts-apper, men Strava har advart brukere om at det store volumet data betyr at treningsaktiviteten man sitter på kan bruke ukesvis på å laste seg opp, eller ennå lengre.
Hvis du er desperat etter å få dataene fra klokken din til Strava eller lignende plattformer, så kan man fortsatt gjøre dette manuelt.
Man må ta i bruk kabelen som man bruker til å lade enheten og plugge denne inn i en datamaskin. De fleste enheter vil dukke opp som et drev man fjerne (i Windows), eller et vanlig drev i Finder (om man bruker macOS.)
Gå inn på enheten, klikk på «Garmin»-katalogen og finn «Activity». Her kan man finne treningsinformasjonen i form av .FIT-filer – de kan være sortert etter dato, så prøv å finn de nyeste filene og overfør disse til datamaskinen din.
(Hvis du har en nyere klokke som eksempelvis kan lagre musikk, så vil denne dukke opp som en primærenhet. Klikk på denne og følg de samme stegene ovenfor.)
Når du har fått kopiert over de relevante .FIT-filene, gå til Strava sin hjemmeside med nettleseren din og trykk på «+»-ikonet øverst i høyre hjørne. Velg «Upload activity» og velg så «File upload» på venstre side av neste skjerm.
Fra her kan du simpelthen navigere til stedet du lagret filene (eventuelt direkte til filene på Garmin-klokken, om du valgte ikke å kopiere filene til datamaskinen), og klikk på de relevante filene. Hvis dette er nylig utførte aktiviteter (altså, så nye at du ikke ved et uhell allerde har lastet de opp), så vil de prosesseres, og du kan fylle inn informasjonen om treningen din som vanlig.
Så kan man eventuelt høste så mye skryt man vil av at man er en av de få som ser ut til å ha trent i det siste.
(Hvis du vil ha litt mer kjøtt på beinet om hvordan man laster opp treningsinformasjon fra andre typer enheter, inkludert hvordan man får informasjon ut av eldre ANT+-enheter, har DC Rainmaker en framifrå guide du bør sjekke ut.)
John er utdannet innen elektronikk, film og journalistikk. Han skrev sitt første script på en HP Vectra (386) i en æra da det var kult å laste ned Sierra-spill fra BBS-er. John er teknologifiksert til tusen, men har en spesiell forkjærlighet for datamaskiner med overdådige skjermkort, kameraer og lydprodukter. Som norsk redaktør tar han seg av det meste som har å gjøre med den daglige driften av TechRadar.