Kjennskap til tre bokstaver er alt du trenger for å kunne overvåke store deler av den norske håndverkerflåten. Tre bokstaver gir deg full kontroll over hvor titusenvis av biler er, hvor de har vært de siste årene og hvem som kjører dem. Og man kan manipulere skattegrunnlag og ta full kontroll ved å endre passordet.
- Det er nesten utrolig at de har laget et slik et system, sier direktør for datatilsynet Bjørn Erik Thon, etter å ha sett bilder av hvordan dette fungerer.
- Det er det absolutt verste systemet man kan velge, sier passordekspert og sikkerhetsrådgiver Per Thorsheim i Evry, som understreker at han ikke kjenner denne løsningen, men uttaler seg om hva han mener er de minst sikre passordløsingene.
Fire års fengsel
Med Abax sitt system trenger man nemlig bare å vite tre bokstaver for å kunne logge seg inn på andres kontoer. Og disse tre bokstavene har suksessbedriften Abax delt ut til alle sine rundt 50.000 brukere av elektronisk kjørebok. Med andre ord – dette er i praksis offentlig kunnskap. Hvem som helst kan sjekke alle bilens bevegelser.
- Disse opplysningene er på ingen måte bagatellmessige – så dette er en veldig alvorlig sak, sier Thon, og varsler at de kommer til å ta dette opp med Abax.
At dette er alvorlige forhold understrekes ikke minst av hvor strengt slik informasjon voktes i det kommende datalagringsdirektivet. Der er det lagt inn ekstra strenge krav for at politiet skal få tilgang til posisjoneringsdata fra mobilen. Det må være mistanke om kriminalitet som kan gi fire års fengsel før politiet får tilgang til de siste seks månedene, mens man hos Abax kan sjekke loggen flere år tilbake.
Helt åpen dør hos 8 av 10
Passordet brukerne får tildelt av Abax er det samme som brukernavnet, og brukernavnet består bare av tre bokstaver og ditt nummer i rekken av kunder hos Abax.
Passord kan riktignok endres av brukerne, men det er det tydeligvis svært få som gjør. En kilde forteller DN.no at han har prøvd 40-50 ulike kontoer, og det er bare en håndfull han ikke kom inn på. DN.no har også sett en demonstrasjon, der dette fungerte i åtte av ti tilfeldig valgte tilfeller, spredt fra kunde nummer 10.000 til over 50.000.
Konfrontert med disse opplysningene sier Abax at det dreier seg om drøyt 20.000 - kontoer som har ligget vidåpne for alle som vil inn.
- Det nytter ikke å legge ansvaret over på sluttbruker i slike tilfeller der det er snakk om både personopplysninger og finansiell informasjon, påpeker Thorsheim.
- Ingen skade skjedd
Administrerende direktør Bjørn Erik Helgeland kjente ikke til problemet, og mener først ikke det var noen viktig sak da DN.no tok kontakt om saken.
- Det er jo verken personer eller bedrifter som har blitt skadelidende her. Så det er jo bra. Hva er det verste som kan skje, hva ville du misbrukt den dataen til? sier han først.
I en ny samtale forteller han:
- Det er svært beklagelig at vi har hatt disse rutinene. Selv om det er kundens oppgave å endre passord er det vårt ansvar, sier han.
Ifølge fag- og kvalitetssjef Petter Quinsgaard i Abax, ble de klar over at dette var en uheldig praksis rundt nyttår, og nye kunder skal nå ikke være rammet. Men Abax gjorde ingenting for å beskytte titusenvis av gamle kunder, før DN.no tok kontakt.
- Vi stenger nå tilgangen for alle som ikke har endret passord, sier Quinsgaard, som mener de skal klare å gi kundene nye passord ganske enkelt.
Han understreker at de har informert kundene om at passord må endres, men ikke om at andre har nesten samme brukernavn og passord som dem.
- Det er en begynnerfeil – og det stammer fra oppstarten, sier han.
Skattemessige problemer?
Abax-kundene risikerer ikke bare å bli overvåket. Inntrengere kan tilsynelatende også manipulere kjøreboka og disse dataene skal sendes inn til skattemyndighetene.
”Feil eller unnlatt rapportering av bruken av yrkesbil kan utløse skjønnslikning og straffeskatt”, advarer Abax i en melding der de prøver å overtale folk til å bli kunder for å ”unngå straffeskatt”.
Disse mulighetene er imidlertid mindre enn de fremstår, sier Petter Quinsgaard i Abax. Han sier brukerne ikke har mulighet til å redigere dataene om turlengde og hvor turen går. Man kan kun legge inn formål, kommentarer og informasjon om andre utgifter, slik som bompenger, parkering og tillegg for tung last. Og dette er relevant for folk som kjører egen bil på jobb, noe som er et lite marked for Abax.
Flere sikkerhetshull
Dårlig passordrutine er imidlertid ikke det eneste sikkerhetsproblemet for Abax. DN.no har sjekket sertifikatene på nettsiden, som skal bevise overfor brukerne at de faktisk leverer opplysningene til Abax, og ikke andre. Nettstedet ssllabs.com forteller at disse sertifikatene er hjemmesnekret av Abax.
Dette slett ikke anbefalt praksis, ifølge Thorsheim.
- Det er en selvfølge at enhver tjeneste på internett i dag som skal ta imot kundedata har et ssl-sertifikat som er utstedt av en tiltrodd tredjepart, man skriver ikke ut slikt selv. Ellers er det som om noen skulle holde opp et fillete førerkort, der bildet ikke ligner på den som holder det, og hvor det står nederst at det er utstedt av eieren, sier Thorsheim.
Han sier egenproduserte sertifikater er noe man bruker i testfasen, men som aldri skal brukes ut mot kundene. Det samme gjelder passordsystemer med samme brukernavn og passord.
Thorsheim forteller at dette er forhold som det slett ikke ville tatt lang tid å gjøre riktig, men at opprydding ofte kan bli svært omfattende når det er mange brukere av systemet.
Og Abax har vært en svært stor suksess.
Les også: Rakettvekst etter syv magre år
<b>Skal gi total kontroll over smuglerne</b>
Abax opplyser i ettermiddag at de har endret passord for alle brukere som var omfattet av dette og etablert rutine for utstedelse av nye passord. De ansvarlige i hver bedrift skal informeres per epost og en avviksmelding er sendt til Datatilsynet, melder selskapet. Det skal også være bestillt nye SSL-sertifikater som skal legges på løsningen. (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.