Data om 460 000 brukere skal ha vært åpent tilgjengelig på nett, ifølge tyske Bayerischer Rundfunk (BR).
De siste ukene har det svenske firmaet VOI begynt å sette ut sine elektriske sparkesykler i Oslo sentrum. Ved hjelp av en app kan man låse opp sparkesyklene og bruke dem i Oslo, og det er ventet at hele 11 aktører vil etablere seg med elektriske sparkesykler i Oslo.
Persondata uten passord eller annen beskyttelse
Det var datajournalister i den tyske kringkasteren som fant fram til brukerdata fra VOI som lå åpent på nettet.
Uten passordbeskyttelse eller andre sikkerhetstiltak fant de persondata som navn, e-postadresser og mobiltelefonnumre. Journalist Robert Schoeffel antyder til NRKbeta at BR totalt kunne fått tak i data om 460 000 brukere.
– Vi lokaliserte et ubeskyttet API i kildekoden på VOIs nettside for å administrere flåten med scootere (https://fml.voiapp.io/login), som hentet data fra en server drevet av Google, forteller Schoeffel til NRKbeta.
Clik here to view.
API-er er mye brukt i digitale løsninger, og de gjør det mulig for et datasystem å be et annet om å gjøre en oppgave. Etter at BR varslet VOI om dette er tilgangen til APIet ikke lenger åpent tilgjengelig.
BR lastet ned en prøve med informasjonen fra 1000 brukere i februar, og det er blant disse dataene det fins informasjon om minst fire nordmenn. Dette er før VOIs sparkesykler dukket opp i Oslos gater.
– Tjenester glemmer å tenke sikkerhet
NRKbeta har snakket med en av dem, Alexander Dreyer Johnsen, som registrerte seg hos VOI i februar.
– Jeg tester ofte nye tjenester tidlig, noen ganger litt for tidlig, sier Dreyer Johnsen til NRKbeta.
– Jeg erfarer dessverre at nye tjenester glemmer å tenke sikkerhet, og heller tar tak i det når feil oppdages.
Dreyer Johnsen er derfor forsiktig med å dele annet enn offentlig tilgjengelig informasjon på slike tjenester.
– Jeg vil nok prøve VOI for å se hvordan det fungerer, men er skeptisk om de begynner å dele bevegelsesmønster, passord og kortdata, sier Dreyer Johnsen.
Clik here to view.
– Nok et eksempel på manglende beskyttelse
Fagdirektør for digitale tjenester hos Forbrukerrådet, Gro Mette Moen, sier på generelt grunnlag at de ser for mange eksempler på at personvern og sikkerhet ikke er ivaretatt når produkter kobles til nettet.
Clik here to view.
– I andre typer produkter koblet på nett som smarte leker og GPS-klokker for barn, virker det som mange aktører har hatt det travelt, og ikke tenkt på de nødvendige sikkerhetsfunksjonene, sier Moen som henviser til en fersk rapport fra Forbrukerrådet hvor de har funnet at tre av fire nordmenn er bekymret for sikkerheten i smarte produkter som er koblet til nettet.
— Dette er signaler bransjen må ta på alvor, og spesielt aktørene som ikke har disse tiltakene på plass. At enkelt-aktører ikke har sørget for at alt er i orden når det gjelder sikkerhet og personvern går ut over ryktet til hele bransjen.
– Dette er noe forbrukerne vanskelig kan sjekke selv. Selv om man kan ta forhåndsregler, som å unngå standardpassord og installere sikkerhetsoppdateringer, er man langt på vei prisgitt at leverandøren tar sikkerhet på alvor.
Dette svarer VOI
I en e-post til SVT Nyheter bestrider VOIs pressesjef Caroline Hjelm at info om 460 000 brukere lå ute på nett, og skriver at det deres interne granskning har avdekket at det dreier seg om info om rundt 100 000 brukere.
Clik here to view.
– Selv om vi ikke går god for BRs metoder, er vi glade for at deres handlinger ga oss muligheten til å adressere potensielle problemer for brukerne våre før de oppstod, skriver VOIs Kristina Nilsson i en e-post til NRKbeta.
Hun understreker at all kredittkortinformasjon har vært lagret separat hos betalingsløsningen Stripe.
– Vi tar datasikkerheten til våre brukere svært alvorlig. I tråd med EUs personvernforordning har vi informert våre brukere om hendelsen og tatt grep for å sikre at dette ikke skjer igjen i framtiden. Vi har også igangsatt en ekstern gjennomgang av våre sikkerhetsrutiner for å beskytte oss mot faktiske angrep i framtiden. Utover varselet fra BR har vi sjekket for å bekrefte at ingen andre organisasjoner har fått tak i brukerdata på denne måten, skriver Nilsson.
Har du registrert deg hos et selskap som leier ut elektriske sparkesykler?