Microsofts søkemotor Bing har kunnet avsløre svært mye om nordmenn og deres liv og evner de siste dagene. For eksempel viser Bing frem kvitteringen for at Einar bodde på dobbeltrom 7. til 10. mars på et motell i nord, at Elisabeth kjøpte et armbånd med gullås for 3500 kroner samme måned. Geir har kjøpt kunst for 6250 kroner, og 1250 kroner litt senere.

– Du ville funnet mye mer i forrige uke, da var det ille. Nå har mange jobbet godt med å fikse dette, sier Espen Håkonsen i Visma.

Søndag rapporterte NRK at Brønnøysundregistrene lekket personnumre, og onsdag meldte Vegvesenet at bompasseringer lekket ut på nettet, men dette er vare toppen av isfjellet. Ingen vet hvor mange norske tjenester som er rammet.

Som å ikke låse døren

DN fant blant annet at Bing avslørte jobbsøkeres resultater på tester av personlighet og ferdigheter. Vi så at Leif er en toppkandidat, som løste oppgaver ekstremt raskt og presist, Even er under snittet, mens Anna tror hun vil nå sine mål, men har en tendens til å unngå utfordrende oppgaver. Roar parkerte bilen sin i Tennfjord 7. april, og lot en stå i 11 dager.

Håkonsen sammenligner det som har skjedd med å la døren stå ulåst.

– Hvis du ikke låser døren om natten, skjer det ingenting, men hvis noen legger ut en liste over ulåste dører, kan opportunister gjøre noe med det, sier han.

Filene som nå kan søkes opp er riktignok ikke kryptert eller passordbeskyttet, men det har vært praktisk umulig å finne dem.

Den hemmelige informasjonen har nemlig blitt lagt ut på svært kompliserte nettadresser som det er nær umulig for selv kraftige datamaskiner å gjette, og så har man typisk sendt lenken til den som skal ha informasjonen, forklarer Håkon Bergsjø, seksjonssjef i Nasjonal sikkerhetsmyndighet (NSM) og leder av Norcert.

Det fungerer, hvis ingen sladrer. Men i dette tilfellet er det trolig Microsofts nettlesere som har meldt fra, tror NSM.

– Nettleseren har tatt ut adressen og sendt den til Bing, sier Bergsjø.

Effektivt – for Microsoft

Etter det DN kjenner til er det trolig Microsofts nye nettleser, Edge, som gjør dette.

-Det er en fantastisk effektiv måte for Microsoft å hente inn adresser som de ikke har kjent til, men det har fått konsekvenser, sier sikkerhetsekspert Per Thorsheim i God Praksis.

Microsoft har gjort det mulig å holde søkemotoren unna deler av servere ved å legge inn spesielle koder i en fil ved navn «robot.txt», men ingen DN snakker med vet helt når Microsoft gjorde endringen, og det er klart at svært mange ikke er tilstrekkelig informert om konsekvensene.

– Dersom Microsoft har gjort denne endringen, så er det fristende å si at de har begått et alvorlig tillitsbrudd overfor sine kunder, ved at det plutselig indekserer og gjør tilgjengelig innhold som aldri har vært ment å gjøres tilgjengelig for andre, sier Thorsheim.

Skylder på nettstedene

Microsoft Norge har kjent til saken i flere dager, men Vibeke Hansen i Microsoft Norge sier hun ikke vet om nettleserne sladrer til søkemotoren om nettadressene folk besøker, og om dette er grunnen til problemene. Microsoft skylder på nettstedene.

– Fra tid til annen kan åpne internettsider inneholde sensitive opplysninger som ikke er tilstrekkelig sikret, og dermed kan dette innholdet utilsiktet bli indeksert av ulike søkemotorer, sier hun, og sier de nå har publisert en veiledning for å unngå problemene.

Den sensitive informasjonen det her er snakk om synes imidlertid ikke å være tilgjengelig via Google. Og hvis NSMs teori stemmer, så kan ikke en ekstern hacker finne ut av dette.

Kan sikres

Det er ingen grunn til å tro at dette er et norsk fenomen. Microsofts tjenester brukes over hele kloden, og teknikken med å lage en komplisert nettadresse uten krav om innlogging er i bruk mange steder.

Bergsjø i NSM mener denne strategien ikke er veldig sikker, men vil ikke rette noen anklagende pekefinger mot noen av brukerne.

Banken din og andre tjenester som krever innlogging bør ikke være rammet, fordi tilgangen til filene der normalt krever at du har legitimert deg. Denne teknikken brukes av tjenester der du typisk ikke har noe passord, som fakturatjenester, bookingtjenester og andre nettjenester du kanskje bare er innom noen få ganger. Det er billigere for tjenesten, og enklere for brukeren, som nok ofte ville glemt passordet fra gang til gang.

– De som gjør dette må kanskje se nærmere på hvordan de publiserer. De har sluppet mye kostnader og hatt ok sikkerhet, helt til Microsoft begynte å indeksere dette, sier Thorsheim.


Navnene øverst i saken er endret for å hindre gjenkjennelse, informasjonen ellers er korrekt. Vi har ikke identifisert tjenestene som er rammet, for ikke å bidra til snoking, og har varslet en tjeneste som kan gjenkjennes.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.