I april i år ble mobilselskapet Sponz utsatt for et hackerangrep, der hittil ukjente bakmenn fikk treff på flere hundre personnumre gjennom mobilselskapets registreringssider.

I etterkant av hendelsen har det oppstått full forvirring om hvem som skulle være ansvarlig for å gi berørte ytterligere informasjon.

Ifølge avviksmeldingen som ble innsendt til Datatilsynet i etterkant av hendelsen, hadde «angriper hatt tilgang til navn og fødselsdata på en rekke personer, og har kjørt mange kombinasjoner av de siste sifrene i fødselsnumrene og derved endt opp med en del unike treff som har generert kredittsjekk og dermed også gjenpartsbrev på de berørte».

I alt fikk den eller de som sto bak treff på totalt 877 personnumre. I avviksmeldingen skriver Bisnode, som leverer kredittopplysningstjenester for Sponz, at de berørte vil få ytterligere informasjon, i tillegg til gjenpartsbrevet.

Derimot hevder Gard Samsonsen, som var en av de som ble ufrivillig kredittsjekket i forbindelse med angrepet, at han aldri hørte noe fra hverken Sponz eller Bisnode.

– Jeg synes det er rart at det tilsynelatende ikke har blitt sendt ut noen informasjon til de som er utsatte for dette. Det kan bety at det er mennesker der ute som ikke vet at de er berørt, eller har misforstått det som har skjedd, sier han.

Bisnode mener det er Sponz som skulle meldt fra til de som ble berørt. Mobilselskapet mener derimot at de aldri fikk kontaktinformasjonen til dem som ble utsatt, til tross for å ha etterspurt dette fra Bisnode.

DN har vært i kontakt med både Sponz, Bisnode og Datatilsynet, som alle bekrefter angrepet.

«Alvorlig»

Natt til 2. april fikk Gard Samsonsen en melding i Digipost, et såkalt gjenpartsbrev, om at en kredittsjekk hadde blitt utført på han av kredittopplysningsbyrået Bisnode, på vegne av telefonselskapet Sponz as. Samsonsen sendte deretter et varsel til Datatilsynet for å melde om det han beskriver som «en svært alvorlig hendelse med store, potensielt livsødeleggende personvernimplikasjoner for de involverte».

Samsonsen har aldri vært kunde i Sponz, ei heller vurdert å bli det.

– Da jeg fikk beskjed om kredittsjekken synes jeg det var rart, fordi jeg aldri har vært kunde i Sponz. Dagen etter tok jeg derfor kontakt med telefonselskapet for å finne ut hva som hadde skjedd, sier Samsonsen.

Ove Skåra, fagdirektør i Datatilsynet, behandlet saken. Han sier at den som melder inn et avvik er behandlingsansvarlig, og forteller at de avsluttet denne saken på grunnlag av informasjonen og lovnadene Bisnode kom med i sin avviksmelding.

– Det er alvorlig hvis Bisnode ikke har gitt informasjonen til berørte, som de skrev at de skulle. Når de melder inn avviket har de et ansvar overfor oss for å gjøre de nødvendige grepene, eller sørge for at det blir gjort. Når de skriver «det vil bli sendt ut informasjon», så forventer vi også at de gjør det.

Han kaller det kritikkverdig at berørte kan ha sittet igjen uten noen informasjon i etterkant.

– I alle saker forutsetter vi at den som sender inn avviket gjør det som skrives i meldingen.

«Sponz er ansvarlige»

I en e-post skriver Liv Anne Holst, kommunikasjonsansvarlig i Bisnode, at de har forholdt seg til eRate i sin behandling av hendelsen. eRate er systemleverandør til en rekke teleoperatører i Norge, og Sponz er en av dem.

– Sponz er vår kunde og behandlingsansvarlig for den aktuelle hendelsen. De har benyttet eRate som underleverandør/databehandler og det er eRate vi har forholdt oss til når det kommer til det tekniske oppsettet av kundens løsning, sier hun.

– Da den aktuelle hendelsen oppstod, gjorde vi det klart for eRate at eRate/Sponz måtte sende ut informasjon til de berørte. Vi sendte også over adresser til de berørte slik at eRate/Sponz kunne sende brev til disse. Etter vår mening var det derfor tydelig at det var eRate/Sponz som var ansvarlige for å informere de berørte, skriver Holst.

Ove Vik, daglig leder i eRate, opplyser at de kun behandler data for for Sponz, og ikke er ansvarlige for portaler og kundegrensesnittet til mobilselskapet.

Gjort tiltak

Akkurat hvem som stod bak angrepet er derimot fortsatt uklart.

Andreas Ingvarsson, sjef for kundeservice i Sponz, sier likevel at de med sikkerhet kan fastslå at angrepet kom fra samme ip-adresse.

– Det ble gjort så mange sjekker per sekund, så det var nok en datamaskin som stod bak. Vi rettet opp i sikkerhetshullet ganske fort, og har nå forhindret at man kan gjøre flere kredittsjekker fra samme ip-adresse, sier Ingvarsson.

Han forteller at de nærmest ble nedringt av folk som hadde fått beskjed om kredittsjekken dagen etterpå, og sier innringerne fikk informasjon om det som hadde skjedd.

På spørsmål om Sponz sendte ut informasjon til de berørte, sier Ingvarsson følgende:

– Vi forklarte til de som ringte inn hva som skjedde. I etterkant etterspurte vi elektronisk informasjon fra Bisnode, men jeg kan ikke huske å ha fått noe. (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.