Personen bak den falske PST-kalenderen: «Jeg tråkka i salaten»

500 nordmenn registrerte seg på det de trodde var PST sin julekalender, som egentlig ble slengt sammen etter en fest. Både PST og personen bak innser alvoret.

PST måtte gå ut på Discord og advare om at årets julekalender på NPST.no ikke kom fra dem. 📸: Ole Petter Baugerød Stokke / Gorm Kallestad / NTB
PST måtte gå ut på Discord og advare om at årets julekalender på NPST.no ikke kom fra dem. 📸: Ole Petter Baugerød Stokke / Gorm Kallestad / NTB Vis mer

«Eeey! Countdown 🤩» skrev en av brukerne på den uofisielle Discord-serveren til Politiets sikkerhetstjeneste (PST) sin julekalender, kvelden 30. november i år.

NPST.no, én av nettsidene som har blitt brukt i PSTs julekalender de siste åra, hadde fått seg en nedtelling til desember. Dette kunne bare bety én ting: Det ble ny kalender i år, også.

«Sikkert høyt volum av pizzabestillinger på Nydalen om dagen» skrev en annen, med referanse til PSTs lokaler i Oslo.

Men det var ikke i disse lokalene det foregikk. For PST hadde aldri noen plan om å lansere noen julekalender i 2024 – de eide ikke engang domenet.

kode24 kan nå fortelle hele historien om hva som skjedde.

«Ikke organisert av oss»

Folka på Discord-serveren, som typisk er norske utviklere, sikkerhetsfolk og IT-studenter, ble sittende og vente på at NPST.no skulle åpne første luke. Ikke før 2. desember skjedde det noe.

«Da var vi i gang» meldte én, da første oppgave ble sluppet.

Noen sleit med å opprette bruker, andre reagerte på at det ikke var blitt kommunisert noe fra PST-ansatte på hverken Discord-serveren eller i sosiale medier. Men kodeknekkingen starta.

Også kode24 meldte 2. desember at PST hadde kommet med en ny utgave av julekalenderen sin – selv om også vi reagerte på lite kommunikasjon fra PST selv.

Så, klokka 16:46 på ettermiddagen, dukket det opp en overraskende melding på Discord fra brukeren «Tastefinger», som tilsynelatende jobber hos PST:

«Kalenderen på npst.no er ikke organisert av oss. Jeg var ikke klar over at npst.no-domenet ikke lenger var eid av oss, eller at noen lagde en kalender på dette domenet før i dag.»

PST mista domenet sitt

– Vi har jo hatt disse julekalenderne noen år, men i år hadde vi av ressursmessige hensyn ikke noen til å lage den, forteller seniorrådgiver Martin Bernsen i PST til kode24.

I tillegg til at de ikke fikk lagd noen ny kalender, utløp domenene deres NPST.no og SPST.no i løpet av høsten – nettsidene til både «Nordpolar sikkerhetstjeneste» og «Sørpolar sikkerhetstjeneste». Av en eller annen grunn har ikke regningene blitt betalt, og dermed ble det fritt fram for andre å kjøpe domenene.

Martin Bernsen i PST. 📸: Gorm Kallestad / NTB
Martin Bernsen i PST. 📸: Gorm Kallestad / NTB Vis mer

– Det var en tabbe, det var en glipp som selvfølgelig ikke skulle ha skjedd, sier Bernsen.

Det var ikke før 2. desember, etter at kalenderen på NPST.no var satt i gang av andre og ordet spredd, at PST ble klar over hva som foregikk.

Og deres kommunikasjon på Discord gjorde at personen bak la alt dødt, og innså at litt førjulsmoro raskt hadde blitt noe mer alvorlig.

Lagd etter en fest

– Jeg var på fest den lørdagen, og hadde fått i meg lite søvn den påfølgende søndagen, så jeg hadde en noe svekket vurderingevne.

Det forteller personen som satt i gang årets NPST.no-julekalender til kode24.

Domenene NPST.no og SPST.no ble kjøpt opp av personen i oktober, da personen følger med på domener som brukes i norske CTF-konkurranser og fikk med seg at de utløp.

– Så kom desember, og jeg fikk et spotant innfall av å sette opp noen greier på domenene, forteller personen videre, om søndagen etter den sene festen.

– Jeg spant opp et CTFd-instans, la ut en oppgave, og la meg. Da jeg våknet den påfølgende dagen, var det mange brukere som hadde registert seg og domenet hadde spredd seg til flere Discord-grupper og på artikkel hos kode24.

NPST.no viser nå denne beskjeden. 📸: Ole Petter Baugerød Stokke
NPST.no viser nå denne beskjeden. 📸: Ole Petter Baugerød Stokke Vis mer

Fra spøk til alvor

Planen var, ifølge personen selv, å si fra at det ikke var PST som stod bak årets julekalender, da personen «merka at folk hadde gjort antakelser om dette». Oppgaver og en historie var klar for å kjøre kalenderen hele desember.

– Men PST kom meg i forkjøpet og la ut meldingen. Og ut fra hvordan jeg leste den, innså jeg at dette hadde raskt gått fra spøk til alvor, sier personen.

– Vurderte du noen gang å ta kontakt med PST for å høre om det var i orden for dem?

– Ja. Men ting gikk veldig fort, så det kom ikke helt til det punktet, før de kom ut med melding på Discord. Jeg tok kontakt med dem umiddelbart etterpå med Auth-info til domenene, men har hittil ikke fått svar.

«Det gikk opp for meg hvor kraftig jeg hadde tråkka i salaten.»

Sletta all data

Kalenderen ble lagt død like etter at PST gikk ut på Discord med advarselen sin. Da skal personen også ha sletta all data, fra de rundt 500 brukerne som allerede hadde registrert seg med epost-adresser og passord.

Beskjeden på NPST.no ble blant annet «Dette domenet er IKKE affiliert med Politiets Sikkerhetstjeneste».

– Det gikk opp for meg hvor kraftig jeg hadde tråkka i salaten. Da var det bare å ta ned alt, slette CTFd, wipe DNS, sette opp ny side med forklaring, og sende PST direktemelding der jeg avklarer situasjonen. I ettertid har jeg prøvd mitt beste å oppklare situasjonen og gjøre ting godt, sier personen til kode24.

Løsningen ble hosta hos CTFd.io, så personen bak skal ikke ha hatt innsyn i folks passord – bare brukernavn og epost-adresser. Og alt skal nå altså uansett være sletta.

– Hva tenker du om at en aktør som PST satt seg i denne situasjonen, ved å la domene sine utløpe?

– Det tyder på litt slappe rutiner hos PST rundt håndtering av digitale assets, men en helt menneskelig feil gitt konteksten. Et domene er en langtidsinvestering, selv hvis du ikke skal bruke det burde du holde på det, om ikke bare for å unngå at dette her skjer, svarer personen.

– Heldigvis var det ikke en ondsinnet aktør som sto bak denne gangen.

Politiets Sikkerhetstjeneste i Nydalen. 📸: Gorm Kallestad / NTB
Politiets Sikkerhetstjeneste i Nydalen. 📸: Gorm Kallestad / NTB Vis mer

Skal ikke skje igjen

Tilbake hos PST i Nydalen er de letta over at det var folk på riktig side av loven som stod bak årets juledrama.

– Det var et initiativ fra CTF-miljøet, som er nettopp det miljøet vi vil kommunisere med. Så at de er engasjerte er jo bare bra. Det kan jo hende at noen av dem teoretisk sett kan få jobb hos oss, og lage neste NPST-julekalender. De er jo våre venner, sier Bernsen.

– Men ser du alvoret i at noen tok over et initiativ fra dere, og fikk 500 folk til å registrere seg med både eposter og passord på en tjeneste man antok kom fra PST?

– Ja, i prinsippet skal jo ikke dette kunne skje. Det er derfor jeg sier at dette er en tabbe, noe som ikke skal skje.

– Er dette noe dere vil forfølge videre?

– Nei, det er det nok ikke. Men vi må forfølge egne rutiner, så det ikke skjer igjen.

– Også blir det kanskje ny en kalender fra PST selv neste år?

– Jada!