NTNU lot tusenvis av eposter sendt mellom ansatte, studenter, forskere og flere eksterne institusjoner ligge åpen for alle skuelystne. Mange av epostene inneholder informasjon om høyteknologisk forskning på digital sikkerhet. – En gullgruve for dem som vil drive målrettede angrep med epost, sier UiO-professor til Dagbladet.
Mange av epostene tilhører nasjonalt senteret for forskning og utdanning innen cyber og informasjonssikkerhet (CCIS). Sentret har som mål å øke Norges evne til å møte digitale sikkerhetsutfordringer.
5 000 eposter
Dagbladet har i alt funnet 5 000 eposter liggende ute på de åpne listene. Mange skal inneholde personopplysninger.
Epostene har vært lett tilgjengelige via oppslag i søkemotoren Google. Mange inneholder vedlegg. Informasjonen er ukryptert, skriver Dagbladet.
– Alt dette materialet burde være konfidensielt. Noe forskning er mer sensitiv enn annen. At noe i det hele tatt ligger ute medfører et brudd på datasikkerheten, sier professor i informasjonssikkerhet Audun Jøsang ved Universitetet i Oslo til Dagbladet.
Jøsang jobber på et av prosjektene som har fått mye av sin interne korrenspondanse spredt fritt. Også eposter Jøsang har sendt internt i prosjektet er tilgjengeliggjort av NTNU på Gjøvik.
– En gullgruve for angripere
Sikkerhetseksperten mener det er hoderystende at en akademisk institusjon – som samarbeider tett med det norske sikkerhetsmiljøet – lar eposter med interne diskusjoner leses av utenforstående.
– Epostlistene på NTNUs nettsider er en gullgruve for dem som vil samle informasjon for å drive målrettede angrep, som nettfisking med epost, for å skaffe informasjon, sier UiO-professoren til Dagbladet.
Seksjonsleder Stian Husemoen ved digital sikkerhet på NTNU i Gjøvik sier at det åpne epostarkivet ble opprettet i 2015.
NTNU: Vi stenger tjenesten
– Dette en gammel tjeneste under utfasing fra den tidligere Høgskolen i Gjøvik, som i utgangspunktet er ment å være åpen. Og der den enkelte som administrerer listene selv kan velge å sette den lukket eller åpen, sier Husemoen til Dagbladet.
Han forteller videre at han ikke vet hvor godt dette er kommuniser til de involverte.
– Vi har ikke så langt funnet meldinger som kan kvalifisere som direkte sensitive, selv om flere absolutt fremstår som «interne». Etter en samtale med prosjektlederen her på NTNU onsdag kveld, ble vi likevel enige om stenge epostlista.
– Jeg ville nok tro at enkelte ville synes det var greiest å ha en slik gruppe lukket, konkluderer sikkerhetssjefen til Dagbladet.