Under 15 minuter den 10 juni 2023 gick det inte att köpa biljetter med SL-appen för att resa med Stockholms lokaltrafik. En okänd person tog på sig attacken och bad om en lösensumma till en adress via kryptovaluta. Den 18 oktober 2024 dömdes en tonåring till ungdomstjänst 25 timmar för att ha orsakat den bristande tillgängligheten.
SL polisanmälde attacken. Polisen genomförde en IP-spårning som kunde kopplas till den nu dömde personen och man genomförde en husrannsakan. Vid husrannsakan hittade man en dator i vilken det fanns skriptfiler. Koden i skriptet var konstruerad för att göra förfrågningar mot en viss adress kopplad till SL:s biljettappsystem och för att kontinuerligt, utan uppehåll, skicka nya begäran mot målservern till dess att skriptet manuellt stoppas av användaren. Koden var byggd för att kunna göra 12 000 förfrågningar per sekund. Skriptet använde en proxyserver genom vilken förfrågningarna gjordes till målservern. Skriptet var även byggt så att när den fått en svarskod från målservern med statuskoden “500” (vilket betyder att målservern inte kan besvara frågan på grund av internt problem) så benämns detta som “success” i skriptet. Om svaret istället är “ok” benämner skriptet svaret som “fail” internt. Det var således programmerat så att målservern skulle få problem.
Ungdomen i fråga erkände att han skapat skript för att skapa en applikation som skulle fungera som SL:s och att han ville förstå hur ordernumren hos SL var kopplade till varandra. Men problemet med skriptet han konstruerat var att det inte hade något stopp. Han uppgav vidare att han skrivit skriptet med hjälp av AI och gett vissa ramar.
Tingsrätten lät sig inte imponeras av tonåringens förklaring och konstaterade att systemet legat nere i 15 minuter och att antalet förfrågningar uppgått till 1,2 miljoner och att han därigenom allvarligt stört och hindrat användningen av applikationen. Givet detta och med beaktande av hur skriptet i övrigt varit konstruerat kan ingen annan slutsats dras än att agerandet varit olovligt och syftat till att överbelasta systemet.
Vän av ordning frågar sig dock vad som blev av den högst relevanta omständigheten att någon tog på sig attacken och krävde lösensumma? Uppenbarligen lyckades inte polisen knyta denna kommunikation till den nu dömde tonåringen, men man kan ju fråga sig vem annars som skulle gjort det? Men omständigheten fanns inte ens med i gärningsbeskrivningen så det verkar som att åklagaren gjort bedömningen att han inte skulle nå framgång med åtalet i den delen. Men det är troligen detta som gjorde att Polisen snabbt började utreda brottet.
Det är alltså inte omöjligt att hitta och lagföra överbelastningsattacker och det kan vara värt att polisanmäla när detta händer. Handlar det om s.k. script kiddies – som i detta fall – är sannolikheten ganska hög att man når framgång i utredningsarbetet.
Den som är intresserad av domen kan hitta den på Attunda tingsrätt, Mål B 3953-24.
