Pakkesporingstjenesten til Postnord hadde fram til slutten av forrige uke en sårbarhet som gjort det mulig for uvedkommende å se både navnet, adressen, telefonnummeret og epostadressen til potensielt millioner av pakkemottakere i Norge.
Det er Hallvard Nygård, den norske utvikleren som oppdaget den mye omtalte sårbarheten i Æ-appen til Rema, som også har funnet sårbarheten i pakkesporingsløsningen til Postnord.
Tilgjengelig i bakgrunnen
Som Nygård selv skriver, var det ikke i selve brukergrensesnittet til sporingstjenesten at personopplysningene ble vist. I stedet har opplysningene vært tilgjengelige i en JSON-fil som lastes inn av sporingstjenesten, uten at personopplysningene ble brukt.
Nygård oppdaget dette fordi han hadde bestilt en vare fra Komplett og kikket sporingstjenesten i kortene. Etter å ha sett at han kunne få opp data om andre kunder ved å endre sporingsnummeret, varslet han både Postnord og Komplett på kvelden den 24. mai, altså torsdag i forrige uke.
Raskt svar fra Komplett
Fra Postnord har Nygård ikke fått noe svar. Komplett kom derimot raskt på banen. Allerede etter halvannen time fikk Nygård et svar hvor han ble takket for rapporten og fikk bekreftelse om at Komplett skulle ta opp saken med Postnord.
Dagen etter, selve GDPR-dagen i store deler av Europa, fulgte Komplett opp med å ringe Nygård og på ny bekrefte at rapporten var mottatt.
Klokken 15 samme dag fikk Nygård beskjed fra Komplett at feilen var blitt rettet og at selskapet hadde varslet Datatilsynet om lekkasjen.
Veldig imøtekommende
Det er dog ingenting som tyder på at feilen hadde noe med Komplett å gjøre. Det samme problemet gjaldt også pakker også fra andre avsendere.
Komplett har vært veldig imøte-kommende og håndtert dette perfekt når det først har oppstått.
Hallvard Nygård
– Komplett har vært veldig imøtekommende og håndtert dette perfekt når det først har oppstått. De har takket samt gitt meg informasjon om hvordan saken ligger an, skriver Nygård i en epost til digi.no.
– Det virker som de har kontroll på «data breach policy». Som en takk har de sendt meg et gavekort på 500 kr, fortsetter han.
I blogginnlegget skriver Nygård at det er viktig at den som mottar en henvendelse om sikkerhetsproblemer, svarer raskt.
– Ofte er problemet at ingen svarer, skriver han.
– Minst fem år
Tjenesten ser ut til å ha eksistert i minst fem år. Ved å søke på Google etter nøkkelordene fra JSON-dataene, har Nygård funnet to kopier av slike data, datert henholdsvis i 2013 og 2014. Begge inneholder mottakerens navn og adresse, men ikke telefonnummer og epostadresse.
Nygård testet også sporingslenken til en pakke han mottok fra Forbruksimport.no i 2016. Lenken fungerte fortsatt og gjenga både fullt navn, adresse, telefonnummer og epostadresse.
Under testingen oppga Nygård sporingsnumrene manuelt.
– Med mindre Postnord har beskyttelse mot massenedlasting, tror jeg at det vil være trivielt å laste ned hele databasen ved hjelp av skripting, skriver han.
Uenige om varigheten
Digi.no har kontaktet Postnord for å få selskapets versjon av det som har skjedd. Bjørn Thorvaldsen, kommunikasjonssjef hos Postnord, bekrefter i stor grad det Nygård har skrevet. Men det er uenighet om ett vesentlig punkt.
Vi skal lærdom av dette, og går nå igjennom all sikkerhet rundt vår IT
Bjørn Thorvaldsen, Postnord
– Først og fremst vil vi takke Nygård for at han gjorde oss oppmerksomme på dette. Vi ble kontaktet i slutten av forrige uke, og utviklet umiddelbart en teknisk løsning for å sikre at dette ikke skal skje igjen. Vi skal ta lærdom av dette, og går nå igjennom all sikkerhet rundt vår IT, skriver Thorvaldsen i en epost til digi.no.
Men på spørsmål om hvor lenge sårbarheten har eksistert, svarer Thorvaldsen at det bare dreier seg om et par måneder.
– Det er en vesentlig kortere periode enn Nygård antyder. Etter det vi erfarer, er perioden fra 27. mars – 25. mai, skriver han.
Kun i Norge
– Hvorfor svarte ikke Postnord selv på henvendelsen fra Nygård, spør vi Thorvaldsen?
– Ettersom Komplett tidlig hadde etablert dialogen med Nygård ble det vurdert at de håndterte henvendelsen i første omgang, svarer han, men legger til at Postnord ønsker tett kontakt med publikum og at de gjerne varsler selskapet direkte.
– Har Postnord i de løpet av de siste årene fått gjennomført en sikkerhetsrevisjon av de publikumsrettede nettjenestene?
– Nei, det er et av de tiltakene vi nå vurderer å innføre, svarer Thorvaldsen.
Han avviser for øvrig at den aktuelle pakkesporingsløsningen også benyttes i andre land enn Norge.
Gransker app-sikkerhet på fritiden: – Stol aldri på brukeren (Digi ekstra)