De som avdekket sikkerhetshullet synes saken er alvorlig, da kundedata lå tilgjengelig for å bli utnyttet til identitetstyveri.
Norconsult Informasjonssystemer er en stor leverandør av datasystemer til renovasjonsbransjen.
I og med at de fleste av oss er pålagte kunder hos denne type selskap, så har disse også kundedata om oss.
Dette er naturlig nok navn. I tillegg finner vi også adresse og personnummer.
Et par av de interkommunale selskapene har også utviklet en app, som kan varsle oss om tømmedatoer for de ulike avfallstypene.
Avdekket sikkerhetshull
– De aller fleste renovasjonsselskap sender fortsatt denne informasjonen ut i papirform. Jeg jobber med utvikling av apper til vanlig, og ville derfor så om det var mulig å utvikle en bedre app enn de som er i bruk i dag til dette formålet.
Det sier Roy Solberg.
Bergenseren er en data interessert kar også på fritiden, og sammen med et par kompiser så bruker de en god del tid på å sjekke sikkerheten i systemer, nettsider og apper de bruker til daglig.
Det var i den forbindelse at Solberg gikk inn på appen til BIR AS, renovasjonsselskapet for Bergen og omegn.
Det han fant overrasket han.
–Jeg undersøkte først en app BIR hadde lansert for å sjekke neste tømmedag for boss. Jeg fant at appen fikk mer enn tømmetidspunkt fra serveren. Etter å ha gravd litt kom jeg over en liste med 30-talls servere. Vi bestemte oss for å undersøke saken videre.
Det ble observert kundedata som inneholdt navn, adresse, fødselsnummer, telefonnummer og e-post på samtlige.
Det var rett og slett mulig å hente ut hele kunderegistre.
– Jeg må si jeg ble overrasket. Informasjonen er jo ikke sensitiv i seg selv, men det skal ikke ligge åpent, sier Solberg.
Han viser til historier om folk som har fått misbrukt sitt personnummer, hvor uvedkommende har søkt om lån og nye mobiltelefonabonnementer.
– I registrene fant vi personnummer koblet med adresser. Dermed er det lett å finne fram til rett postkassa hvis du vil hente ut brev for å skjule svindelen for dem som blir misbrukt.
Strenge krav
Solberg forteller at Datatilsynet har strenge krav om behandling av personnummer, og at disse skal sendes i kryptert form over Internett.
I renovasjonsselskapenes tilfelle har de altså ligget helt åpent for allmennheten.
– Opplysningene vi fant kan brukes til identitetstyveri har Datatilsynet tidligere uttalt til mediene. Jeg ser også for meg at de kan brukes til utpressing. Kommunene og de interkommunale foretakene burde alle gjennomført sikkerhetstester, spesielt nå som den nye personvernforordningen (GDPR) har trådt i kraft. Per nå får de stryk i IT-sikkerhet, sier Hallvard Nygård, som har jobbet sammen med Solberg i denne saken.
De varslet både Datatilsynet og Norconsult Informasjonssystemer om sikkerhetshullet hos de ulike renovasjonsselskapene – deriblant Innherred Renovasjon 15. april.
Fem dager senere varslet IT selskapet de ulike eierkommunene om det de hadde fått vite.
På tross av dette gikk det to måneder før Innherred Renovasjon hadde ordnet opp i problemet.
Det er snakk om rundt 92000 innbyggere i kommunene de har ansvar for.
Serveren til Innherred Renovasjon kan også ha inneholdt kunder fra Moss, Oslo, Tolga, Bergen, Sula, Trondheim, Rissa, Bjugn, Orkdal, Melhus, Tydal, Steinkjer, Verran, Høylandet, Overhalla, Flatanger, Nærøy, Vefsn og Indre Fosen.
Innherred har forsøkt å komme i kontakt med direktør Geir Tore Leira i Innherred Renovasjon.
Ingen lekkasje
I stedet svarer kommunikasjonsrådgiver Øyfrid S. Knudsen på e-post:
Det stemmer at vi 20. april fikk brev fra Norconsult om at det var avdekket at det var teknisk mulig for tredje part å trekke ut informasjon fra en tjeneste som benyttes av vår app og webportal – dersom man hadde den dype tekniske innsikten som kreves. Norconsult presiserer i brevet at dette ikke hadde skjedd, men at de hadde satt i gang preventive tiltak.
Avviket var også meldt til Datatilsynet.
I løpet av få dager var dette sikkerhetshullet tettet, og det var ikke lenger teknisk mulig for tredje part å trekke ut data. Imidlertid lot det seg gjøre for dem som oppdaget hullet før det ble tettet, ettersom de hadde vært inne allerede. Andre utenforstående kunne ikke slippe inn.
Dette var en sak mellom Norconsult og vår IT-leverandør som de løste i april og informerte oss om, det var ingenting Innherred Renovasjon kunne eller skulle gjøre noe med selv. Norconsult forsikrer oss om at det ikke har vært noen lekkasje etter tettingen av hullet.
Vi setter imidlertid sikkerhet høyt på agendaen og tar selvsagt slike trusler på alvor. Vi har gjort nødvendige tiltak med hensyn til ny personvernforordning GDPR, og har en oppdatert databehandleravtale med Norconsult.