Två cyberkriminella tvillingar åkte fast efter att hela deras kupp spelades in via Microsoft Teams. Polisen fick en timmes HD-video med skärmdelning, ansikten och fullständig brottsplan.

Det var ett närmast perfekt digitalt brott. Tvillingarna hade krypterade VPN-tunnlar, spoofade MAC-adresser och en egenutvecklad C2-server hostad via Tor. Men de hade sitt planeringsmöte på Teams. Med inspelning på.

Enligt Kjell Khods analys är grundproblemet inte Teams i sig. Det är att folk fortfarande behandlar UX-element som om de vore dekorativa. Den lilla röda pricken som sa ”inspelning pågår” ignorerades i 47 minuter. Det är samma mentalitet som får folk att skriva lösenord på post-it-lappar. Analogt tänkande i en digital kontext.

Polisen: ”Vi trodde det var ett skämt”

Utredaren Anna Björk vid Cyberbrottsenheten beskrev gripandet som ”det enklaste i min karriär”. Videon innehöll namn, personnummer och en detaljerad genomgång av vilka bankkonton som skulle tömmas. ”De hade till och med en PowerPoint med tidsplan”, sa Björk. ”Slide fyra hette ’Exit Strategy’. Den var tom.”

Microsofts nordiska säkerhetschef Per Lindwall kommenterade händelsen kort. ”Teams fungerar precis som det ska. Inspelningsfunktionen är robust och skalbar.” Han tillade att detta visar på plattformens ”enterprise-grade reliability”. Han verkade genuint stolt.

Säkerhetsexperten och GitHub-användaren xX_darknode_Xx skrev i en öppen issue att skulden helt ligger på bristande OPSEC-hygien. ”Om de hade kört ett self-hosted Jitsi-instans med E2EE och disabled recording via config.js hade detta aldrig hänt.” Issuen fick tre tummen-upp och stängdes som ”won’t fix”.

Tvillingarnas advokat hävdar att inspelningen borde vara ogiltig. Ingen gav samtycke. Men Teams skickade ett mejl till båda med länk till inspelningen. De klickade aldrig på mejlet. Enligt advokaten bevisar det att ”ingen rimlig person läser mejl från Microsoft”. Rätten tar upp fallet i augusti. Inspelningen finns redan på SharePoint.

— Kjell Khod, Chief Technology Correspondent, Riksbulletinen