3 april

Den 3 april drabbades Fortnox av ett överbelastningsangrepp.

Vi har inte vid något tillfälle sett några lyckade intrångsförsök, varken vid manuella kontroller eller via vår omfattande övervakning. Allt som observerades under överbelastningsangreppet var distribuerade anslutningsförsök i syfte att överbelasta våra system och störa vår tillgänglighet.

Kundernas data är fortsatt trygg och säker hos Fortnox.

Angreppet startade 07:33 och Fortnox driftpersonal lyckades avvärja angreppets effekter vid 10:43. Under dagen införs flera förbättringar som gör Fortnox system än mer robusta.

Nedanför redogör vi dagen för angreppet och de åtgärder vi tog.

Klockan 07:33 börjar angreppet, och de första larmen börjar komma från vår automatiska övervakning att våra system inte är nåbara utifrån. Kort därefter börjar driftteamet felsöka problemen och konstaterar ett märkligt beteende med upp- och nedgångar i trafiken.

Vi noterar att en av våra komponenter återkommande får slut på resurser. Vi skickar ut en konfigurationsändring som ökar storleken på komponenten. Denna åtgärd görs sedan ytterligare tre gånger under dagen. Kontinuerligt felsöker vi fortfarande anledningen till problemen och runt 08:20 misstänker vi att det kan röra sig om ett medvetet angrepp utifrån.

Strax efter 09:00 upptäcker vi ett mönster i vår loggning som gör att vi ser från vilken typ av enhet angreppet kommer ifrån. Vi tar därför beslut om att börja blockera dessa enheter för att utvärdera om det minskar attacken utan att ge oönskade följdeffekter.

Efter insatta åtgärder med att utöka resurser, bygga om applikationen och blockera specifika enheter är nu Fortnox applikation åter nåbar för det stora flertalet.

Strax innan lunch har vi felsökt och korrigerat möjligheten att mer specifikt identifiera anropen som tillhör angreppet och rullar ut det i samtliga datacenter och blockerar därefter de identifierade anropen. Därmed går det återigen att nå Fortnox för alla användare och via alla enheter.

De åtgärder som införts under dagen kommer att hjälpa oss i all möjlig felsökning framöver och även ge oss bättre insikt i helt legitima trafikmönster. Vid 16:26 stänger vi den publika incidenten på statussidan.

8 april

Den 8 april 08:20 utsätts vi för ett nytt överbelastningsangrepp, som snabbt kan blockeras. Vi skapar en ny publik incident på vår status-sida, och stänger den 10:53 då angreppet upphört kort efter att det blockerats.

10:56 påbörjas ett nytt angrepp som blockeras och sen snabbt avtar. Vi skapar en ny publik incident och övervakar under dagen. Efter att inga ytterligare angrepp noterats stängs den publika incidenten 15:20.

Posted Apr 09, 2024 - 15:02 CEST

Resolved

Överbelastningsangreppet har nu upphört efter att ha varit i princip verkningslöst sen kl. 10:45. Denna incident är därmed stängd. Vi beklagar det inträffade och har genomfört flera förbättringsåtgärder för att undvika liknande incidenter i framtiden.

Posted Apr 03, 2024 - 16:26 CEST

Update

Driftstörningen under dagen har berott på ett överbelastningsangrepp som fortfarande är aktivt, men tack vare insatta åtgärder har vi kraftigt begränsat angreppets påverkan.

Ett överbelastningsangrepp innebär att vi har utsatts för en överdriven mängd trafik. Kundernas data har inte påverkats av detta.

Vi fortsätter övervaka situationen och förbereder ytterligare åtgärder att sätta in vid behov.

Posted Apr 03, 2024 - 12:24 CEST

Monitoring

Felet är identifierat och en fix har implementerats.
Vi övervakar dess effektivitet.

Posted Apr 03, 2024 - 11:01 CEST

Identified

Vi arbetar för fullt med att lösa problemet.

Posted Apr 03, 2024 - 10:03 CEST

Investigating

Vi jobbar på att lösa problemet. Titta in igen om en stund.

Posted Apr 03, 2024 - 08:01 CEST

This incident affected: Produkter (Bokföring, Fakturering, Offert & Order, Lager, Lön, Kvitto & Resa, Arkivplats, Autogiro, Anläggningsregister, Leverantörsfakturaattest, Digital byrå, Tid) and Fortnox inloggning, Fortnox API.