Ved å manipulere nettadressen til en rekke nyhetsbrev har det vært mulig å hente ut informasjon om andre. Leverandøren oppgir selv at sårbarhetene som har blitt avdekket nå er håndtert.
Roy Solberg, en IT-utvikler fra Bergen, startet i juni 2018 å legge merke til at nyhetsbrev levert av det norske selskapet Oculos kunne utnyttes til å gi ut informasjon om ham og mange andre.
Etter hvert som han fant disse tilfellene rapporterte han det til kundene, og noen ganger leverandøren selv. Overfor NRKbeta har han dokumentert elleve tilfeller hvor personinformasjon kan ha kommet på avveie.
Hvorfor er det viktig: Det har vært mulig å hente ut informasjon om kunder til selskaper som Telenor, Nille, Plantasjen, og leketøyskjeden Ringo ved å manipulere nettadresser (URL) forbundet med deres nyhetsbrev. Samlet kan millioner av nordmenn være berørt.
Varslet Datatilsynet
Plantasjen opplyser via økonomidirektør Christian Rykke at de har varslet Datatilsynet og redegjort for tiltakene de vil iverksette.
– Vi er imidlertid ikke tilfreds med at det var NRK – og ikke Oculos selv – som gjorde oss kjent med disse opplysningene om det aktuelle sikkerhetshullet. Dette vil være del av evalueringene vi skal gjennomføre med Oculos snarest mulig, skriver Rykke.
Plantasjen oppgir selv å ha nesten 900.000 medlemmer i kundeklubben, ifølge en artikkel i ehandel.
– Vi kan slå fast at feilen er rettet og alle persondata nå er forsvarlig sikret. Det ser ut til at enkelte kundeopplysninger, som navn, telefonnummer, og epostadresser, i en periode kan ha vært tilgjengelige via en helt spesiell fremgangsmåte.
Manipulerte URL-er
– Jeg er irritert over at de behandler mine data på en så skjødesløs måte, sier Solberg.
Han har de siste årene omtalt en rekke sikkerhetsbrister på bloggen og i norske medier som en del av arbeidet med å gjøre folk mer bevisst om IT-sikkerhet. Flere av sårbarhetene har startet med en nettadresse (URL) hvor han kan endre tallene.
For eksempel gjorde det magiske tallet 193.753 det mulig å hoppe mellom brukere i noen av nyhetsbrevene, og slik få ut informasjon om dem. I de fleste tilfellene var det kun mulig å hente ut telefonnummer og epostadresse, andre ganger flere personopplysninger.
I et nyhetsbrev (selskapet er ikke omtalt i artikkelen) var det mulig å komme seg til en innstillingsside hvor man også kunne hente ut passord til sluttbrukeren. Om brukeren hadde fylt inn ekstra informasjon som stillingstittel, arbeidssted, og adresse ville også det være mulig å hente ut. Oculos oppgir til NRKbeta at dette forholder ligger tilbake i tid og at sårbarheten ble håndtert etter påsken.
Solberg oppgir at han kun har testet ulike metoder for å dokumentere sårbarhetene:
– Det er rart at et firma som sitter med opplysninger på flere millioner personer ikke leier inn et tredjepartsfirma for å sjekke sikkerheten. Det burde nesten være lovpålagt, sier Solberg.
Tips journalisten om personvern og IT-sikkerhet på telefon eller Signal: (+47) 47 75 65 15 eller martin.gundersen@nrk.no
– Vanskelig å sjekke på tvers av kunder
– Vi kan ikke kommentere forhold som omhandler enkeltkunder, sier Toralf Waaktaar-Slokvik i Oculos, og fortsetter:
– Det er kommet informasjon om at det har vært en teoretisk mulighet til å utnytte våre systemer, men ikke gjort. Sårbarhetene er blitt lukket i tråd med våre rutiner, sier Waaktaar-Slokvik.
Til NRKbeta oppgir Roy Solberg at han synes det er spesielt kritikkverdig at Oculos selv ikke igangsatte en større gjennomgang av sikkerheten etter at han først tok kontakt i juni 2018. Senest i mai kom Solberg selv over en lignende svakhet hos en ny kunde.
– Hvorfor har Solberg fortsatt å finne svakheter i deres løsninger, men ikke dere?
– Det dreier seg om at plattformene er bygget på forskjellige måter og at kundene er satt opp på forskjellige løsninger. I tillegg er det forskjellige maler og skjema for hver enkelt. Flere av kundene har komplekse oppsett, og det gjør det vanskelig å sjekke på tvers av kundeporteføljen, sier Waaktaar-Slokvik.
Ifølge Waaktaar-Slokvik har de siden påsken gjennomført en rekke manuelle kontroller for å avdekke om også andre kunder kan være berørt.
Etter sommeren skal Oculos lansere et «white hat»-program hvor «snille hackere» kan få kompensasjon for å finne svakheter som Solberg avdekket.
Hold deg oppdatert om personvern og IT-sikkerhet
Få et ping i postkassa hver gang vi publiserer noe interessant om teknologi eller medier!
– Tar opplysningene svært alvorlig
Til NRKbeta opplyser Telenors kommunikasjonssjef, Caroline Lunde, at deres berørte nyhetsbrev delte tilbud og produktnyheter med mobil- og bredbåndskunder.
– Da vi oppdaget dette ble lenkene umiddelbart deaktivert, frem til URL-ene var godt nok utformet til å ivareta de strenge kravene vi stiller til beskyttelse av informasjon om våre kunder, skriver Lunde i en epost.
Administrerende direktør i Nille, Kjersti Hobøl, opplyser at Nille siden 2015 har tatt i bruk en annen løsning, men at de ser alvorlig på hendelsen.
– Vi er ikke fornøyd med at en «white hat» hacker har fått tilgang til å hente ut data om våre kunder, selv om disse er av ikke-sensitiv karakter, sier Hobøl.
Til NRKbeta oppgir sjef for Nordic Toy Team, selskapet bak Ringo, at de ikke ønsker å kommentere forholdet.
.jpg)
.jpg)
