– Det er en kunde av oss, som i kraft av å være innlogget har hentet ut fakturainformasjon gjennom et sikkerhetshull. Da vi fikk vite om dette ble sikkerhetshullet tettet umiddelbart av våre utviklere, sier markedssjef Johanne Vikdal til digi.no.
Hva slags sikkerhetshull dette var ønsker de ikke å røpe noe om av hensyn til etterforskningen.
– Angrepet var ikke noe elegant håndverk, det var ikke avansert, sier Vikdal.
Skal ha krevd belønning
Vikdal forklarer at datainnbruddet ble utført av en norsk 23 år gammel student. Det var han som tok kontakt og krevde betaling for sikkerhetshullet han hadde funnet.
– Vi fikk informasjon av vedkommende som prøvde seg på pengeutpressing for en tid tilbake. Det er derfor vi har anmeldt saken til politiet. Det er ingen indikasjoner på at han har prøvd å ramme kundene våre, men har prøvde å presse oss for penger, sier hun.
SendRegning, som er eid av Unit4, forteller at de har brukt mye tid på denne saken. Ifølge Vikdal har de hatt løpende dialog med 23-åringen de mener seg utpresset av.
Det skal ha vært flere møter mellom partene.
Vedkommende som krevde betalt for funnet av et sikkerhetshull skal også ha signert en erklæring om at dataene han har skaffet seg tilgang på umiddelbart blir slettet.
Les også: Fakturasuksess solgt til Unit4
– Få er berørt
Vikdal ønsker ikke å si noe om datalekkasjens omfang, annet enn at det skal være «veldig få» som er berørt i forhold til kundemassen, som i dag består av 64.000 kunder.
SendRegning.no ble etablert som en nettjeneste for enkel fakturering tilbake i 2003. De henvender seg blant annet til små- og mellomstore bedrifter, enkeltpersoner og foreninger. Ifølge selskapet er det første gang de opplever et sikkerhetsbrudd.
– Gudskjelov er dette første gangen, sier markedssjefen.
– Vi har også satt i gang penetrasjonstesting av eksterne sikkerhetskonsulenter. Rapporten har vi fått tilbake, og det var noen svakheter vi måtte rette. Det holder vi på med nå.
Datatilsynet bekrefter overfor digi.no at de har mottatt en avviksmelding fra SendRegning. Det skjedde tirsdag denne uken.
«Viktig info til våre kunder»
I går tok SendRegning også kontakt med kunder for å opplyse om hva som har skjedd.
Fordi meldingen ser ut til å være tilpasset kunden har vi sladdet opplysningene i nest siste avsnitt:
«For kort tid siden opplevde SendRegning et datainnbrudd. Det viser seg dessverre at en av våre kunder, gjennom sin brukerkonto, ulovlig har skaffet seg tilgang på fakturainformasjon. Vi beklager på det sterkeste at dette kunne skje og gjør vårt ytterste for å rette opp situasjonen. Sikkerhetshullet som gjorde dette mulig ble umiddelbart identifisert og tettet.
Vi har ingen indikasjon på at intensjonen er annet enn utpressing av SendRegning. Saken er varslet til Datatilsynet og til politiet. Vi og våre advokater har i tillegg vært i direkte dialog med vedkommende, og han har signert en erklæring om at dataene han har skaffet seg tilgang på umiddelbart skal slettes.
Du trenger ikke å varsle Datatilsynet selv, så lenge du ikke har en avvikende oppfatning om hva som har skjedd.
Vi ser svært alvorlig på hendelsen og beklager på det sterkeste at informasjon kom på avveie. Vi lever av at våre kunder har tillit til at systemene våre er trygge, men dessverre kan ingen gardere seg fullt ut mot slike hendelser. Vi kan forsikre om at vi gjør alt vi kan for å hindre at noe lignende skal kunne skje igjen. Som ett av mange tiltak har vi engasjert eksterne sikkerhetskonsulenter som nå gjennomgår alle våre systemer.
Passordinformasjon er ikke berørt, så du behøver ikke endre passord på din SendRegning-konto. Annet enn selv å vurdere sensitiviteten i dine fakturaer og vurdere behov for varsling av dine kunder, kreves ingen ytterligere tiltak av deg.
Mulige berørte fakturaer for deres firma: X stk.
Mulige fakturaer som er lastet ned (fakturanr):
XXXXX,XXXXX,XXXXX,XXXXX,XXXXX,XXXXX,XXXXX,XXXXX
Med vennlig hilsen
Espen Gjester
Daglig leder
SendRegning»