Hun har efaktura-avtale for betaling av strømregningene sine. En praktisk og grei løsning.
Men kunden fikk sjokk da hun oppdaget at hun enkelt kunne ta seg inn i fremmede personers efakturaer. Sikkerhetshullet oppdaget hun på slump.
Fikk frem andres regninger
Kvinnen forteller at hun gikk inn på efakturadetaljene i strømregningen sin, og så at opplysningene ikke var krypterte.
- Så jeg tuklet litt, forandret noen tall i nettadressen, og ble ganske overrasket over at jeg kunne få frem andre personers regninger, sier hun.
Ved å forandre andre tall har hun også kunnet endre layout på regningene, slik at de ser ut til å komme fra helt andre everk enn de er sendt fra.
- Løsningen er alt for lett å manipulere, og jeg er bekymret for dette kan åpne for misbruk, sier kunden.
Brukte ikke sikkerhetsløsning
Det er leverandøren Client Computing Europe som leverer efakturaløsningen via sitt netthotell. Client Computing samarbeider med Bankenes Betalingssentral, BBS.
- Det er avdekket en feil hos en ekstern leverandør av webfakturahotell, sier informasjonssjef Sigbjørn Larsen i BBS til DN.no. Han bekrefter at denne eksterne leverandøren er Client Computing.
Larsen forklarer feilen slik:
- En sikkerhetsløsning fra BBS var ikke fullstendig implementert, slik at kunder som gikk bevisst inn for det kunne gå inn på andre kunders regninger.
Ifølge Larsen ble feilen rettet onsdag ettermiddag.
- En feil hos oss
Client Computing engasjerte kommunikasjonsbyrået Kreab Gavin Anderson til å håndtere saken etter at DN.no tok kontakt tirsdag kveld. Konsernsjef Johan Nygaard vil ikke svare på spørsmål uten å først å ha fått disse oversendt på epost.
- Hvordan er det mulig for en person å gå inn på andre personers fakturaer?
- Dette gjelder kun personer som har opprettet efaktura-avtaler med 11 av de rundt 50 energileverandører som benytter vår efaktura-løsning. I korte perioder i år har disse kundene ved å manipulere nettadressen, skaffet seg adgang til å kikke på andres efakturaer for strøm. Dette skyldes en feil hos oss, som oppstod i forbindelse med integrering av våre løsninger mot energileverandørenes nye administrative løsninger, svarer Nygaard via sin Kreab-rådgiver Brynjulf Freberg i eposten.
30.000 fakturaer månedlig
- Hvor lenge har sikkerhetshullet vært der?
- Vi har integrert vår løsning mot de nevnte 11 energileverandørene i perioden januar til oktober 2009. Men, siden prosessen mot de forskjellige energileverandørene ble gjennomført på forskjellige tidspunkter i denne perioden, har sikkerhetshullet kun eksistert for de enkelte i korte perioder.
Med løsningen der det ble oppdaget et sikkerhetshull, håndterer Client Computing i overkant av 30.000 efakturaer månedlig for strøm og drøyt 400.000 på årsbasis. Totalt håndterer selskapet drøyt fem millioner efakturaer årlig
- Ikke korrekt
Om BBS' uttalelse om at en sikkerhetsløsning ikke var korrekt implementert, svarer Nygaard slik:
- Dette er ikke korrekt. Tilgang til andres bankkonti har aldri vært mulig med løsningen vi leverer. Det BBS imidlertid påpekte var at deres krav om kundenes tidsbegrensning med hensyn til å kunne se på egen efaktura for strøm kun i fem minutter, ikke var oppfylt. Dette ble rettet umiddelbart. Sikkerhetsløsningen fra BBS har hele tiden vært implementert sammen med tilleggsfunksjonalitet som øker sikkerheten ytterligere.
Client Computing har kunder innen blant annet bank/ finans, forsikring, energi, medlemsorganisasjoner og barnehager. Men kunder innen andre sektorer enn energi skal ikke være berørt, ifølge selskapet.
- Nei, ingen av løsningene levert til andre kunder har hatt sikkerhetshull, heter det i eposten.
Nygaard hevder også at "Det potensielle problemet besto i at personer med spesifikk kunnskap om vår teknologiløsning kunne kikke på andre personers fakturadetaljer. Det er imidlertid ikke riktig at detaljene ikke var/er krypterte, eller at uvedkommende kunne ta seg inn på andres konti. "
Ingen kløpper på data
DN.no har tilgang til 27 sidedropper som viser at kunden som oppdaget hullet har fått tilgang til andre kunders efakturaer.
Og at man må ha "spesifikk kunnskap om teknologiløsningen" for å få det til, ja, det bare ler hun av.
- Jeg er ikke noe spesielt kløpper på det der nei, jeg er utdannet innen markedsføring og bruker word, excel og powerpoint og sånt, sier tobarnsmoren.
Men hun innrømmer at hun nok er av den mer nysgjerrige og eventyrlystne typen.
- Det som gjorde at jeg reagerte var at jeg så at url-ene fra for eksempel DnB Nor og Nordea var sånne lange lenker med prosenttegn og @-er og alt mulig sånt. Men url-en fra everket var en veldig kort og enkel sak, forteller hun.
| Slik gikk hun frem: |
| Logger på nettbank (gjelder alle nettbanker) og henter frem visningen av fakturaen. |
Et av selskapene DN.no har tatt kontakt med i forbindelse med denne saken, Nord-Trøndelag Energiverk (NTE), har stoppet utsendelse av efakturer mens de går gjennom sikkerheten ved hjelp av et tredje selskap.
Les også: Bort med pinkodekaoset
Regninger lå vidåpne på nett
Etter et par tastetrykk kunne kvinnen fråtse i andres efakturaer.
Link til hele artikkelen
Re: Regninger lå vidåpne på nett
Det har vært mulig å fråtse i andres fakturaer helt siden papirfaktura og postkasse ble tatt i bruk.
Vi skal fortsatt ha fokus rundt sikkerheten på Internett, bare ikke glem hvordan det fungerer i den fysiske verden.
Re: Re: Regninger lå vidåpne på nett
Sist jeg sjekket papirfakturaen min, kom det i en lukket konvolutt. Og, så vidt jeg forstår efaktura, ligger alle fakturaene der ute et eller annet sted. Sjekket postkassa igjen, sannelig, det lå ingen kopier av papirfakturaene jeg hadde hentet før, i motsetning til på nettet.
Jeg tror nok, oppvakt som jeg er, at dersom papirfakturaen hadde blitt åpnet ville jeg lagt merke til det, og kunne gjort noe med det. Noen andre en jeg som har sett at postkasser er designet med hengelåsmontering? I motsetting til dataen min...
Åpenbart juks!
HAHAHA, her mistenker jeg Client Computing eller Kreab som har kuppet kommentarfeltet. Åpenbart at de prøver å dempe skandale. Mitt tips DN, sjekk IP på hvem som har skrevet innleggene her!!!!!!!!
Re: Re: Re: Regninger lå vidåpne på nett
Dette er mer som at postmannen leverer naboens regninger i din postkasse uten konvolutt.. Er det ingen myndigheter som sjekker eller krav til lisenser for å levere så sårbare løsninger til nettbanker?
Re: Regninger lå vidåpne på nett
"- Vi har integrert vår løsning mot de nevnte 11 energileverandørene i perioden januar til oktober 2009. Men, siden prosessen mot de forskjellige energileverandørene ble gjennomført på forskjellige tidspunkter i denne perioden, har sikkerhetshullet kun eksistert for de enkelte i korte perioder"
Med andre ord så betyr det vel at hullet har vært der i nesten ett år
so what ?
Latterlig vinkling. Dette blir jo som å gå i postkassa til naboen og se på fakturaen der. Ikke mye sensitive opplysninger på en faktura. Her må det foreligge spesielle motiver fra "tobarnsmorens" (og DNs ???) side. Saken virker konstruert og bestilt. Trodde dere drev med undersøkende journalistikk. Finansavisen, here I come :-)
Re: so what ?
Dårlig innlegg. Dette er en alvorlig svikt i systemet.
Re: Re: so what ?
Ideelt skulle dette vel ikke forekomme, men at konsekvensene iht personvernbestemmelsene så alvorlige at saken får førstesideoppslag på DN undrer meg stort all den tid det ikke forekommer personsensitive opplysninger på en faktura eller efaktura. Hvom mange kilowatt en tilfeldig person har brukt tyder vel på over gjennomsnittlig interesse for løsningen. Her stinker det lang vei... nyhetstørke i DN ????
Bug..
på IT språket kalles dette en liten bug, Microsoft og alle andre har tusenvis av dem i sine applikasjoner..
BUG ?
en url med fakturanr=????? er ikke en bug.. Det er laget slik med viten og vilje. Og da typisk av noen som ikke vet bedre.. klasisk feil for en "fersking".
"feilen" ligger i arkitekturen til IT løsningen.
Og det viser stor mangel på kunnskap hos it leverandøren, som kan levere noe slikt.
Slike ting som dette finnes desverre også på andre nettsteder.
it-konsulent
Re: BUG ?
Hvorvidt URL inneholder fakturanummer direkte eller obfuskert er egentlig likegyldig. I begge tilfeller må objektet som skal aksessereres (i dette tilfellet fakturaen) ha tilknyttet en liste over tilganger. Her benyttes ikke tilgangskontroll i det hele tatt, og det er den store feilen; og det er en stor feil.
Re: Lus ?
Dette var jo løsninga for alle e-faktura som kom inn i systemet til bbs tidligere også, da klaga jeg og først trodde ikke banken på det, men etter litt forklaring og noen måneders venting fiksa de det den gangen også. Mye feil i Nettbank, f.eks. var det "maksgrense" på betalinger, men om man la betalinga litt fram i tid, og deretter trykka på "endre" så var det ingen ny sjekk, men kunne da legge både forfall "idag" og intet maksbeløp. Vet ikke om dette er fiksa ennå, da banken min har skifta leverandør av nettbank bort fra Fellesdata til en dansk leverandør (helt tydeligdansk , siden det er en hel del som ikke er oversatt fra dansk til norsk).
Er dette en sak?
Det eneste dette dreier seg om er at det var mulig å se på andres strømfaktura. Det var ikke mulig å foreta noen som helst manipulasjon av faktura. Det var heller ikke mulig å få uautorisert tilgang til nettbank eller utstedende e-verks systemer. Det burde være viktigere saker å bruke energi på.
Re: Er dette en sak?
Hva med at alle konkurrentene dine veldig enkelt får innsyn i hvem dine kunder er, hva de betaler og hvor mye strøm de bruker? Eller at de før tak i ditt målernummer og kanskje kan sende inn avlesning for deg? Jeg hadde ikke likt det.....
Re: Er dette en sak?
Jeg er DRITT lei av selskaper som ikke tar personlige opplysninger seriøst I det norske samfunn er det stadige eksempler på at Gud og hvermann kan se konfidenseille opplysninger. Jeg vil ikke at noen skal snoke i regningene mine! Skjerp dere
Re: Er dette en sak?
Problemet er større enn som så. Selv om konsekvensene denne gangen er bagatellmessige, hva som samme kunde eller leverandør tilbyr oss tjenester som eksponerer sensitive data? Hvorfor skal vi tro at de klarer jobben bedre da?
DN slår til med løgn igjen...
DN slår nok en gang til med konstruerte saker. Det er vel eneste måten de får lesere på. DN har vært kjøpt og betalt og det har de vært i lang tid.
Man skulle tro at DN ønsket å skrive om seriøse og troverdige saker, men her slår de til med nok en kontruert sak. Fullstednig uetisk!
Re: DN slår til med løgn igjen...
Det er selvfølgelig svært viktig at det blir informert om slike feil i bankenes løsninger.
Dersom vi noen gang skal få nok tillit til sikkerheten på nett med tanke på fornyelse i offentlig sektor og i helsetjenestene spesielt, må blant annet bankene kunne vise til god sikkerhet på sine løsninger.
Makan til useriøst sludder ?
DN og "tobarnsmoren" synes åpenbart å ha vikarierende motiv for å lage fredagsunderholdning på en kjedelig oktoberdag. Hvis "damen" har giddet å lage 27 sidedropper til journalisten for å belyse sin sak, synes jeg dette stinker. Men DN er jo kjent for sin kobling mellom annonsesalg og redaksjonelt stoff, nok et bevis - hold der unna!
Re: Makan til useriøst sludder ?
Don't kill the messenger.Dama har belyst et problem som jeg tror gjelder flere leverandører. Hvorfor vil BBS ha en 5-minutters grense for hvor lenge man kan se disse dataene? Jo, fordi de vet at mange har Mikke-mus løsninger. Med en grense på 5-minutter blir det litt vanskeligere å leke URL leken. Jeg vet at JEG skal sjekke mine leverandører av slike tjenester på akkurat samme måte. Smart dame og slettes ikke noe vikarierende motiv.
Re: Re: Makan til useriøst sludder ?
De aller fleste websider har slike "huller", også dagensit.
Re: Re: Re: Makan til useriøst sludder ?
Forskjellen er vel at dagensit ikke inneholder sensitive opplysninger om tusenvis av mennesker. Her snakker vi faktisk om huller i nettbanken!
Re: Makan til useriøst sludder ?
Den kjedelige underholdningen er at uvedkommende kan fråtse i andres efakturar. Bra DN setter fokuset på selskaper som driver med TULL. Ikke la dem slippe så billig unna.
Re: Makan til useriøst sludder ?
hvis denne leverandøren ikke klarer å sikre en fakturatjeneste ordentlig hva da med andre tjenester de tilbyr!
Dette er en viktig sak å belyse. Riktig å trekke det fram.
Overvåkning i Norge
Dette er et typisk eksempel på at det ikke foregår relevant testing av løsningen.
Levrandør av løsningen og kunden har ikke noe forhold til sikkerhet.
Dette er et utslag av at mange folk spesielt fra Arbeiderpartiet og Høyre synes at alle opplysninger skal uansett karakter skal fremlegges for hele folket.
AP og Høyre går inn for at alle i Norge skal døgnovervåkes følgende skal logges til evig tid:
-- Hvor du befinner deg (10 m nøyaktighet døgnet rundt)
-- Hvem du ringer til, hvor du er når du ringer og hvor personen du prater med befinner seg
-- Total oversikt over alle websider du besøker på nettet
-- Total oversikt over hvor ofte du logger deg inn på nettbaken
-- Total oversikt hver gang du logger deg inn på en datamaskin over nettet.
-- Legge til rette for en infrastruktur som gjør det enkelt å legge inn spionprogramvare på din datamaskin som bruker microfon og videokameraet til og rom overvåke deg.
AP har i mange tiår drevet med politisk overvåkning av f.eks SV
Når disse personene som går inn for slik total overvåkning av alle i Norge skal designe dataløsninger forstår de ikke at folk vil ha et privat liv
Hva med svarene fra BBS og Client Computing?
Jeg synes at det var usedvanlig mange flåsete kommentarer til denne artikkelen. Sterkest reagerer jeg på kommentaren fra Jonas BB som antyder at tobarnsmoren kan ha "spesielle motiver". Og det er helt i tråd med insinuasjonene fra BBS og Client Computing i deres svar til Dagens IT. Selv om dette ikke har vært verdens største sikkerhetsproblem, så synes jeg ikke at man skal hovere over de som føler det ubehagelig at eget kundeforhold har lagt ut åpent og ukryptert. Vi forstår alle at det er de færreste som har oppdaget dette, men jeg synes likevel det er usmakelig å bagatellisere forholdet og å forsøke å latterliggjøre/mistenkeliggjøre tobarnsmoren og Dagens IT. Det har faktisk opprørt meg såpass at jeg har blogget om det: http://pcjonny.blogspot.com/2009/10/hva-med-bytte-ut-arroganse-med.html
architect
Lurer på hvem som er arkitekten her ? Ligner en svertekampanje.. Hvem kan vinne på å komme med slike opplysninger. Tobarnsmoren, neppe ? Neppe. En konkurrent som sliter kanskje..??
Si din mening!
DN.no oppfordrer til å bruke fullt navn i debattene
- Tittel må fylles ut
- Ditt navn må fylles ut
- Kommentarfeltet må fylles ut
Lesernes kommentarer