Vi benytter cookies på DN.no til analyseformål, tilpasning av innhold og annonser og for å videreutvikle våre tjenester.Les mer her.

Håkon Bergsjø er seksjonsleder for Norges nasjonale cybersenter – Norcert sitt operasjonssenter i Oslo. Det er den operative delen av Nasjonal sikkerhetsmyndighet (NSM) som håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Foto: Heiko Junge/NTB Scanpix
Håkon Bergsjø er seksjonsleder for Norges nasjonale cybersenter – Norcert sitt operasjonssenter i Oslo. Det er den operative delen av Nasjonal sikkerhetsmyndighet (NSM) som håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Foto: Heiko Junge/NTB Scanpix les mer

Teknologi

NSM: Tar hemmelige adresser fra nettleseren – publiserer dem på nett

Microsoft har trolig plukket ut adresser til privat informasjon fra brukernes nettleser. Privat informasjon fra en lang rekke norske tjenester er gjort søkbar i Bing. 

Artikkelen er lagt til i din leseliste.

Microsofts søkemotor Bing har kunnet avsløre svært mye om nordmenn og deres liv og evner de siste dagene. For eksempel viser Bing frem kvitteringen for at Einar bodde på dobbeltrom 7. til 10. mars på et motell i nord, at Elisabeth kjøpte et armbånd med gullås for 3500 kroner samme måned. Geir har kjøpt kunst for 6250 kroner, og 1250 kroner litt senere.

– Du ville funnet mye mer i forrige uke, da var det ille. Nå har mange jobbet godt med å fikse dette, sier Espen Håkonsen i Visma. 

Slik tror man informasjonen slipper ut:

  • Når du mottar privat informasjon fra en nettjeneste der du ikke har brukernavn og passord legges dokumentet ofte på en komplisert nettadresse som ingen andre får tilsendt.
  • Nettleseren din kan imidlertid se nettadressen, og NSM tror Microsoft har begynt å oppdatere sin søkemotor Bing med adresser fra egen nettleser. 
  • Siden informasjonen ikke er kryptert legger Bing den ut i søkbar form.
  • Slike filer slettes gjerne etter kort tid, kanskje en dag. 
  • Microsoft har ikke svart på om nettleseren deres forer søkemotoren.  
  • Microsoft har laget en veileder som forklarer hvordan man kan hindre slike lekkasjer og fjerne innhold fra Bing (eksterne lenker).  
Vis mer

Søndag rapporterte NRK at Brønnøysundregistrene lekket personnumre, og onsdag meldte Vegvesenet at bompasseringer lekket ut på nettet, men dette er vare toppen av isfjellet. Ingen vet hvor mange norske tjenester som er rammet.

Som å ikke låse døren

DN fant blant annet at Bing avslørte jobbsøkeres resultater på tester av personlighet og ferdigheter. Vi så at Leif er en toppkandidat, som løste oppgaver ekstremt raskt og presist, Even er under snittet, mens Anna tror hun vil nå sine mål, men har en tendens til å unngå utfordrende oppgaver. Roar parkerte bilen sin i Tennfjord 7. april, og lot en stå i 11 dager.

Håkonsen sammenligner det som har skjedd med å la døren stå ulåst. 

– Hvis du ikke låser døren om natten, skjer det ingenting, men hvis noen legger ut en liste over ulåste dører, kan opportunister gjøre noe med det, sier han. 

Filene som nå kan søkes opp er riktignok ikke kryptert eller passordbeskyttet, men det har vært praktisk umulig å finne dem.

Den hemmelige informasjonen har nemlig blitt lagt ut på svært kompliserte nettadresser som det er nær umulig for selv kraftige datamaskiner å gjette, og så har man typisk sendt lenken til den som skal ha informasjonen, forklarer Håkon Bergsjø, seksjonssjef i Nasjonal sikkerhetsmyndighet (NSM) og leder av Norcert.

Det fungerer, hvis ingen sladrer. Men i dette tilfellet er det trolig Microsofts nettlesere som har meldt fra, tror NSM.

– Nettleseren har tatt ut adressen og sendt den til Bing, sier Bergsjø.  

Effektivt – for Microsoft

Etter det DN kjenner til er det trolig Microsofts nye nettleser, Edge, som gjør dette.

-Det er en fantastisk effektiv måte for Microsoft å hente inn adresser som de ikke har kjent til, men det har fått konsekvenser, sier sikkerhetsekspert Per Thorsheim i God Praksis.

Microsoft har gjort det mulig å holde søkemotoren unna deler av servere ved å legge inn spesielle koder i en fil ved navn «robot.txt», men ingen DN snakker med vet helt når Microsoft gjorde endringen, og det er klart at svært mange ikke er tilstrekkelig informert om konsekvensene.

– Dersom Microsoft har gjort denne endringen, så er det fristende å si at de har begått et alvorlig tillitsbrudd overfor sine kunder, ved at det plutselig indekserer og gjør tilgjengelig innhold som aldri har vært ment å gjøres tilgjengelig for andre, sier Thorsheim.

Skylder på nettstedene

Microsoft Norge har kjent til saken i flere dager, men Vibeke Hansen i Microsoft Norge sier hun ikke vet om nettleserne sladrer til søkemotoren om nettadressene folk besøker, og om dette er grunnen til problemene. Microsoft skylder på nettstedene.

– Fra tid til annen kan åpne internettsider inneholde sensitive opplysninger som ikke er tilstrekkelig sikret, og dermed kan dette innholdet utilsiktet bli indeksert av ulike søkemotorer, sier hun, og sier de nå har publisert en veiledning for å unngå problemene.

Den sensitive informasjonen det her er snakk om synes imidlertid ikke å være tilgjengelig via Google. Og hvis NSMs teori stemmer, så kan ikke en ekstern hacker finne ut av dette.

Kan sikres

Det er ingen grunn til å tro at dette er et norsk fenomen. Microsofts tjenester brukes over hele kloden, og teknikken med å lage en komplisert nettadresse uten krav om innlogging er i bruk mange steder. 

Bergsjø i NSM mener denne strategien ikke er veldig sikker, men vil ikke rette noen anklagende pekefinger mot noen av brukerne. 

Banken din og andre tjenester som krever innlogging bør ikke være rammet, fordi tilgangen til filene der normalt krever at du har legitimert deg. Denne teknikken brukes av tjenester der du typisk ikke har noe passord, som fakturatjenester, bookingtjenester og andre nettjenester du kanskje bare er innom noen få ganger. Det er billigere for tjenesten, og enklere for brukeren, som nok ofte ville glemt passordet fra gang til gang. 

– De som gjør dette må kanskje se nærmere på hvordan de publiserer. De har sluppet mye kostnader og hatt ok sikkerhet, helt til Microsoft begynte å indeksere dette, sier Thorsheim. 


Navnene øverst i saken er endret for å hindre gjenkjennelse, informasjonen ellers er korrekt. Vi har ikke identifisert tjenestene som er rammet, for ikke å bidra til snoking, og har varslet en tjeneste som kan gjenkjennes.

Debatt 

DN vil gjerne at du deltar i debatten og diskuterer denne saken. Vi ønsker en god og saklig debatt, og krever at du debatterer under fullt navn. Innlegg skrevet med anonyme brukernavn og kallenavn vil bli slettet. Av sikkerhetsmessige årsaker sletter vi også poster med linker. Debatten modereres underveis. Vi fjerner innlegg som vi mener ikke hører hjemme i det offentlige rom.

Med vennlig hilsen
Amund Djuve, sjefredaktør