digi.no har etter lesertips påvist en sikkerhetsglipp i nettløsningen til sportkjeden XXL.
En bestemt URL tok imot fødselsnummer (11 sifre) som parameter. Spørringen røpet ikke bare at vilkårlig valgte fødselsnummer er gyldige. Med fulgte hele datasett med tilhørende fornavn, etternavn, bostedsadresse, postnummer og -sted.
Sikkerhetsekspert Per Thorsheim i firmaet God Praksis mener at det er rimelig å anta at et enkelt script kunne automatisert prosessen med å skrape ut alle norske fødselsnummer.
Dataene stammer etter alt å dømme fra Folkeregisteret. XXL.no blottla nemlig også personopplysninger fra personer som aldri har vært kunder av dem.
Ironisk nok lå hullet i en funksjon ment å skulle redusere svindel ved fakturakjøp.
– Selve funksjonen for personnummersjekk i utsjekken handler om sikkerhet for å redusere svindel i forbindelse med fakturakjøp. Så det er litt paradoksalt at man kan bygge et script basert på en URL for å massehente informasjon, sier ehandelssjef Morten Iversen hos XXL.
digi.no valgte å holde tilbake saken inntil nettbutikken fikk deaktivert funksjonen. Gothia som leverer fakturaløsningen ble også tidlig informert.
– Det har vært en utilsiktet feil hos en underleverandør av både oss og XXL. Derfor er vi glad for at digi.no avdekket forholdet, slik at vi umiddelbart fikk stanset denne misbruksmuligheten, sier daglig leder Tore Krogstad i Gothia.
Ifølge Krogstad lå sikkerhetsglippen i arbeid utført av en webutvikler for XXL. Gothia har ikke påvist avvik andre steder, men har umiddelbart satt i gang en kvalitetssjekk for å være helt sikre.
ID-tyveri
Tidligere på dagen snakket vi med Tore Orderløkken, leder av Norsk senter for informasjonssikring (NorSIS). De har i mange år jobbet for at norske bedrifter skal ivareta kundedata på best mulig måte.
– I verste fall kan slike lekkasjer medføre ID-tyveri med påfølgende svindel, sier Orderløkken.
Han erindrer flere lignende skandaler. For noen år siden var det mulig å høste inn personopplysninger fra nettsidene til Tele2 og Talkmore. Sistnevnte fikk i 2008 en bot på 150.000 kroner for brudd på personvernloven.
Datatilsynet har heller ikke glemt de mange lekkasjene av fødselsnummer og persondata fra ulike nettjenester opp gjennom årene.
– Dette ser ikke mindre alvorlig ut. Vi forutsetter at de retter opp umiddelbart, og eventuelt tar ned koblingen først, sa Datatilsynets informasjonsdirektør Ove Skåra før lekkasjen ble stengt.
NorSIS har på sin side lansert egne tester, myntet både på privatpersoner og virksomheter, med mål om å forebygge datalekkasjer og ID-tyveri.
– Norske bedrifter må ta inn over seg at noen er på jakt etter persondata. Opplysningene må sikres deretter, oppfordrer Tore Orderløkken.
Les også:
- [24.11.2014] Vips, du er papir-borger
- [28.09.2011] Stjal topp-politikeres personnumre
- [25.11.2010] 124 000 nordmenn har opplevd ID-tyveri
- [08.01.2010] Må slette kundenes fødselsnummer
- [03.09.2009] Datatilsynet oppgitt over usikre nettjenester
- [02.09.2009] Stengte ID-knekker på flekken
- [09.06.2009] Skremmende lett å finne fødselsnumre
- [27.03.2009] 270.000 norske fødselsnumre lekket
- [24.09.2008] Redd for følgene av tabben i Skatteetaten
- [17.09.2008] Delte ut alle nordmenns fødselsnumre