Hun har efaktura-avtale for betaling av strømregningene sine. En praktisk og grei løsning.
Men kunden fikk sjokk da hun oppdaget at hun enkelt kunne ta seg inn i fremmede personers efakturaer. Sikkerhetshullet oppdaget hun på slump.
Fikk frem andres regninger
Kvinnen forteller at hun gikk inn på efakturadetaljene i strømregningen sin, og så at opplysningene ikke var krypterte.
- Så jeg tuklet litt, forandret noen tall i nettadressen, og ble ganske overrasket over at jeg kunne få frem andre personers regninger, sier hun.
Ved å forandre andre tall har hun også kunnet endre layout på regningene, slik at de ser ut til å komme fra helt andre everk enn de er sendt fra.
- Løsningen er alt for lett å manipulere, og jeg er bekymret for dette kan åpne for misbruk, sier kunden.
Brukte ikke sikkerhetsløsning
Det er leverandøren Client Computing Europe som leverer efakturaløsningen via sitt netthotell. Client Computing samarbeider med Bankenes Betalingssentral, BBS.
- Det er avdekket en feil hos en ekstern leverandør av webfakturahotell, sier informasjonssjef Sigbjørn Larsen i BBS til DN.no. Han bekrefter at denne eksterne leverandøren er Client Computing.
Larsen forklarer feilen slik:
- En sikkerhetsløsning fra BBS var ikke fullstendig implementert, slik at kunder som gikk bevisst inn for det kunne gå inn på andre kunders regninger.
Ifølge Larsen ble feilen rettet onsdag ettermiddag.
- En feil hos oss
Client Computing engasjerte kommunikasjonsbyrået Kreab Gavin Anderson til å håndtere saken etter at DN.no tok kontakt tirsdag kveld. Konsernsjef Johan Nygaard vil ikke svare på spørsmål uten å først å ha fått disse oversendt på epost.
- Hvordan er det mulig for en person å gå inn på andre personers fakturaer?
- Dette gjelder kun personer som har opprettet efaktura-avtaler med 11 av de rundt 50 energileverandører som benytter vår efaktura-løsning. I korte perioder i år har disse kundene ved å manipulere nettadressen, skaffet seg adgang til å kikke på andres efakturaer for strøm. Dette skyldes en feil hos oss, som oppstod i forbindelse med integrering av våre løsninger mot energileverandørenes nye administrative løsninger, svarer Nygaard via sin Kreab-rådgiver Brynjulf Freberg i eposten.
30.000 fakturaer månedlig
- Hvor lenge har sikkerhetshullet vært der?
- Vi har integrert vår løsning mot de nevnte 11 energileverandørene i perioden januar til oktober 2009. Men, siden prosessen mot de forskjellige energileverandørene ble gjennomført på forskjellige tidspunkter i denne perioden, har sikkerhetshullet kun eksistert for de enkelte i korte perioder.
Med løsningen der det ble oppdaget et sikkerhetshull, håndterer Client Computing i overkant av 30.000 efakturaer månedlig for strøm og drøyt 400.000 på årsbasis. Totalt håndterer selskapet drøyt fem millioner efakturaer årlig
- Ikke korrekt
Om BBS' uttalelse om at en sikkerhetsløsning ikke var korrekt implementert, svarer Nygaard slik:
- Dette er ikke korrekt. Tilgang til andres bankkonti har aldri vært mulig med løsningen vi leverer. Det BBS imidlertid påpekte var at deres krav om kundenes tidsbegrensning med hensyn til å kunne se på egen efaktura for strøm kun i fem minutter, ikke var oppfylt. Dette ble rettet umiddelbart. Sikkerhetsløsningen fra BBS har hele tiden vært implementert sammen med tilleggsfunksjonalitet som øker sikkerheten ytterligere.
Client Computing har kunder innen blant annet bank/ finans, forsikring, energi, medlemsorganisasjoner og barnehager. Men kunder innen andre sektorer enn energi skal ikke være berørt, ifølge selskapet.
- Nei, ingen av løsningene levert til andre kunder har hatt sikkerhetshull, heter det i eposten.
Nygaard hevder også at "Det potensielle problemet besto i at personer med spesifikk kunnskap om vår teknologiløsning kunne kikke på andre personers fakturadetaljer. Det er imidlertid ikke riktig at detaljene ikke var/er krypterte, eller at uvedkommende kunne ta seg inn på andres konti. "
Ingen kløpper på data
DN.no har tilgang til 27 sidedropper som viser at kunden som oppdaget hullet har fått tilgang til andre kunders efakturaer.
Og at man må ha "spesifikk kunnskap om teknologiløsningen" for å få det til, ja, det bare ler hun av.
- Jeg er ikke noe spesielt kløpper på det der nei, jeg er utdannet innen markedsføring og bruker word, excel og powerpoint og sånt, sier tobarnsmoren.
Men hun innrømmer at hun nok er av den mer nysgjerrige og eventyrlystne typen.
- Det som gjorde at jeg reagerte var at jeg så at url-ene fra for eksempel DnB Nor og Nordea var sånne lange lenker med prosenttegn og @-er og alt mulig sånt. Men url-en fra everket var en veldig kort og enkel sak, forteller hun.
Et av selskapene DN.no har tatt kontakt med i forbindelse med denne saken, Nord-Trøndelag Energiverk (NTE), har stoppet utsendelse av efakturer mens de går gjennom sikkerheten ved hjelp av et tredje selskap.
Les også: Bort med pinkodekaoset (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.