Ett av dokumentene NRK fant ved et tilfeldig søk var bonde Kåre Anders Ingeborgsrud fra Årnes´ salg av korn til Felleskjøpet.
Foruten informasjon om hvor mye penger bonden hadde fått for kornet, fantes detaljert fakturainformasjon som produsentnummer, og bondens kontonummer.
Dette er ett eksempel på et oppgjørsbrev fra Felleskjøpet som lå ute. NRK har fjernet personsensitiv informasjon. Felleskjøpet har fikset feilen som gjorde at dokumentet ikke lå bak innloggingsmur, slik det skulle.
Foto: Faksimile– Dette oppgjørsbrevet er ikke det mest farlige, men alle opplysninger som kontonummer bør ikke bør ikke ligge ute på nettet helt åpenlyst. Det er for dumt, sier Ingeborgsrud til NRK.
Han frykter all personinformasjonen totalt sett kan samles inn og misbrukes av noen med onde hensikter.
– Generelt bør selskapene være mer nøye med hvordan de behandler informasjon om personer, og sørge for sikkerheten. Det sier noe om hvor sårbart hele samfunnet er, når opplysninger og om alt og alle ligger på server og nett, sier Ingeborgsrud.
Rettet feilen etter NRKs henvendelse
– Dette skal jo ikke skje, og sånt skal ikke kundene våre utsettes for, så det er veldig beklagelig, sier Thomas Skjennald, kommunikasjonssjef i Felleskjøpet.
Foto: Felleskjøpet– Dette skal jo ikke skje, og sånt skal ikke kundene våre utsettes for, så det er veldig beklagelig, sier Thomas Skjennald, kommunikasjonssjef i Felleskjøpet.
Felleskjøpet ble først klar over sikkerhetsbristen da NRK tok kontakt fredag.
Et søk i søketjenesten Bing resulterte blant annet i flere treff i opplysninger om kundeforhold i Felleskjøpet som oppgjørsbrev, fakturaer, kontraktstilbud, som lå åpent på nett. I tillegg til navn- og adresseopplysninger, fantes kontraktsnumre, kundenumre, fakturanummer og i noen tilfeller kontonummer.
– Det er veldig viktig å påpeke at feilen nå er rettet opp fra vår side, slik at det ikke er mulig å få tak i den informasjonen etter at vi rettet svakheten i systemet, sier Skjennald.
Dette er ett eksempel på et oppgjørsbrev fra Felleskjøpet som lå ute. NRK har fjernet kontonummer og annen personsensitiv informasjon. Felleskjøpet har nå fikset feilen.
Foto: Faksimile– Enkelte faktura- og kundeordre, som vanligvis lå bak en innlogginsløsning har blitt indeksert og gjort tilgjengelig via søk. Det skal jo selvfølgelig ikke skje.
Ifølge Felleskjøpet vet de ikke hvor mange kunder dette gjelder, men Skjennald understreker at det ikke gjelder alle fakturaer eller kundeordre.
Microsoft: – Vi har publisert en veiledning
I helga fortalte NRK at personsensitive opplysninger, som blant annet fødselsnummer og kontonummer, har ligget åpent ute på nett hos en rekke norske virksomheter, blant annet Brønnøysundregistrene, Statens vegvesens Autopass og en del private faktureringsfirmaer.
Virksomhetene har nå tettet sikkerhetsbristen.
Ifølge Nasjonal sikkerhetsmyndighet skyldes feilen trolig en endring i Microsofts søkemotor Bing, som resulterte i at maskinlagde, personlige direktelenker som kunder får opp av kvitteringer, fakturaer eller andre dokumenter i en innloggingstjeneste har blitt søkbare.
I en e-post skriver Microsoft til NRK at det« tar alle innmeldte saker alvorlig» og at:
«Fra tid til annen kan åpne internettsider inneholde sensitive opplysninger som ikke er tilstrekkelig sikret, og dermed kan dette innholdet utilsiktet bli indeksert av ulike søkemotorer. På våre nettsider har vi publisert en veiledning som forteller hvordan dette kan unngås og hvordan innhold som allerede er indeksert kan fjernes».
