16. mai ble det full kriseberedskap i Evry etter at digi.no varslet selskapet om en datalekkasje. Med en enkel «site:»-kommando dukket det opp 25 400 søkeresultater på et fakturahotell som tilhører den norske IT-giganten i søkemotoren Bing.
Fakturaene som dukket opp i søket inneholdt informasjon om kredittgrense, utestående kreditt, kredittkjøp og lignende til Sparebank 1-kunder. Søkeresultatene er nå fjernet.
82 treff med sensitivt innhold
Evry hevder at bare 82 av treffene inneholdt sensitiv informasjon. digi.no tok stikkprøver av 20 av de over 20 000 resultatene, og kan dermed verken bekrefte eller avkrefte Evrys påstander.
– Dette ser vi svært alvorlig på, og beklager sterkt overfor våre kunder. Vi har fått oversikt over kundene dette gjelder, og kommer til å ta direkte kontakt med disse, sier kommunikasjonsdirektør Kristin Vetleseter i Sparebank 1 til digi.no.
Ifølge henne har det viktigste for banken vært å stenge ned tilgangen til de sensitive opplysningene.
Mener endring i Edge er skyld i lekkasjen
digi.no har hatt tett kontakt med Evry etter at vi varslet den norske IT-giganten om datalekkasjen. Selskapet påstår at en endring i Microsoft Edge har forårsaket lekkasjen.
Selskapet mener nettleseren sender informasjon til søkemotoren Bing, som så videre blir indeksert der. Evry påstår til digi.no at de sensitive dataene har ligget bak passordbeskyttede nettsider på deres fakturahotell, som selskapet drifter for Sparebank 1.
– I første omgang gikk vi igjennom våre systemer, da vi trodde det lå en feilkonfigurasjon eller et angrep bak lekkasjen, men som det ser ut nå ser det ut som det er den nyeste versjonen av Bing som er rotårsaken til lekkasjen, sier Evrys sikkerhetssjef Tore Larsen Orderløkken til digi.no.
(artikkelen fortsetter under)
Lekkasje også i Autopass
Orderløkken har tidligere fungert som administrerende direktør i Norsk senter for informasjonssikring (Norsis).
Onsdag ble Statens vegvesen varslet om muligheter for datalekkasje fra bompengesystemet Autopass. Feilen medførte at midlertidige rapporter i Autopass kan ha vært tilgjengelig gjennom Bing.
Vegvesenet sier de raskt gjorde endringer av IT-systemet for å stoppe muligheten til å hente ut informasjon.
Selskapet ble varslet av operasjonssentralen NorCERT som driftes av Nasjonal sikkerhetsmyndighet (NSM). NSM har vært i dialog med Evry etter digi.no-varslingen 16. mai.
Også Brønnøysundregistrene har blitt rammet, skriver NRK.
NSM mener Microsoft er synderen
NSM har ikke falt på riktig samme konklusjon som Evry, men er fast bestemt på at det er Microsoft som er skyld i begge datalekkasjene.
Løsninger som NSM tidligere anså som sikre, er ikke sikre lenger
– Microsoft har kommet med en ny måte å crawle og indeksere på. Innhold som før ikke ble indeksert, blir indeksert nå. Løsninger som NSM tidligere anså som sikre, er ikke sikre lenger, sier Hans Christian Pretorius til digi.no
Han er avdelingsdirektør for operativ sikkerhet i NSM, som er del av de hemmelige tjenestene. Pretorius sier at maskingenererte webadresser – som før ble oppfattet av norske selskaper som trygge – ikke er trygge lenger.
– Vi har vært i tett dialog med Microsoft for å få fakta på bordet, men de har foreløpig ikke levert, sier NSM-direktøren til digi.no.
- Les NSMs dagsferske anbefalinger: Søkbare persondata i søkemotorer
Varslet norske driftsleverandører
NSM har brukt dagene etter 16. mai på å varsle norske driftsleverandører om sikkerhetsbristen som rammer alle som bruker maskingenererte webadresser.
De er det mange av. digi.no har gjennomgått flere store fakturaselskaper, og funnet sensitive opplysninger i søketjenestene.
Ikke bare i Norge. Også i Danmark, Finland og USA. Dermed ser dette ut som et globalt problem.
Behov for å forstå endringene
– Vi har fokusert på å gi norske bedrifter oppskrifter på hvordan de skal slette data som ikke skal ende opp i Bing-søket, sier NSM-direktøren til digi.no.
NSM sier at de har et sterkt behov for forstå hva de nye endringene i Bing innebærer.
Kommunikasjsondirektør Vibeke Hansen i Microsoft Norge sier at innhold som ikke er tilstrekkelig sikret fra tid til annen kan havne på avveie.
– Dermed kan dette innholdet utilsiktet bli indeksert av ulike søkemotorer. På våre nettsider har vi publisert en veiledning som forteller hvordan dette kan unngås og hvordan innhold som allerede er indeksert kan fjernes, sier hun til digi.no.
