Utviklerne Hallvard Nygård og Roy Solberg oppdaget personnumrene til alle brukerne hos avfallsleverandører som benytter seg av Norconsult Informasjonssytemers datasystem for kommunal fakturering.

Utsatt app

De to utviklerne er over gjennomsnittlig interessert i datasikkerhet.

– Når vi bruker tjenester enten på nett eller apper, bruker vi å sjekke sikkerheten på tjenestene, sier Nygård.

Da Solberg brukte appen til BIR (Bergensområdets Interkommunale Renovasjonsselskap) oppdaget han at det var mulig å få tilgang på kundedata som inneholdt navn, adresse, fødselsnummer, telefonnummer og e-post på samtlige som fikk hentet søppel av BIR.

– Fødselsnummer kan sammenstilles med andre opplysninger, noe som kan brukes til ID-tyveri, ifølge datatilsynet, sier Nygård.

Remiks rammet

Utviklerne fant en oversikt over alle selskap som bruker samme datasystem brukt av BIR, utviklet av konsulentgiganten Norconsults datterselskap: Norconsult Informasjonssytemer. Sammen sjekket de omfanget av sikkerhetshullet, og fant ut at 14 aktører eller kommuner var rammet av sikkerhetshullet. Blant annet Remiks som eies av Tromsø og Karlsøy kommune.

– Tromsø og Karlsøy har rundt 76.000 innbyggere og vi estimerer da persondata fra 30.000-40.000 abonnenter var tilgjengelig, sier Nygård.

Varslet om funnene

Etter å ha gjennomført undersøkelser varslet utviklerne Norconsult Informasjonssytemer og Datatilsynet i april 2018. Først midt i juni var sikkerhetshullene hos Remiks tettet.

– Det er lang tid, og vi måtte purre på dem da vi oppdaget at hullene ikke var tettet.

– Det er skremmende at så mye informasjon er tilgjengelig med litt teknisk kompetanse, og det er mange i Norge som har kompetansen til å utnytte slike sikkerhetshull, slår Nygård fast.

IKKE FORNØYD: Øivind Østbø i Remiks er ikke fornøyd med at personopplysninger har ligget åpent tilgjengelig for alle med litt datakompetanse.

Misnøye hos Remiks

Øivind Østbø er administrasjonsansvarlig hos Remiks.

– Vi er ikke fornøyd med at den type informasjon har ligget tilgjengelig. Vi har kjøpt en tømmeplan-tjeneste av Norconsult som brukes av mange avfallsaktører over hele landet, og det er de som har hatt ansvar for den tekniske løsninga.

Han forteller at Remiks ble varslet av Norconsult Informasjonssytemer i april om svikten.

– Men så har vi fått høre i ettertid at informasjonen har vært mulig å hente ut helt fram til juni. Det har vi tatt opp med Norconsult, og vi er ikke fornøyd, uten at vi har fått noen forklaring på hvorfor det har tatt så lang tid.

Konsulentselskapet har beklaget overfor Remiks, for at sikkerhetshullet har funnet sted.

– Så for vår del er saken lukka. Men vi er overraska over at dataen har vært tilgjengelig, for en tømmeplan behøver ikke den type personopplysninger. Det er beklagelig. Vi behandler ikke mye sensitive opplysninger, men det lille vi har skal vi ta på alvor, sier Østbø.

Norconsult: – Beklagelig

iTromsø har ikke lykkes å få tak i en representant fra Norconsult til å kommentere saken, men leder for marked og kommunikasjon i Norconsult, Hege Njå Bjørkmann uttalte følgende til Bergens Tidende i forrige uke:

– Selv om dette var data som lå vanskelig tilgjengelig, er det beklagelig at det var hull i løsningen. Systemene ble raskt gjennomgått og det er ikke funnet unormal aktivitet annet enn på tidspunktene Nygård og Solberg har hatt aktivitet, sier leder for marked og kommunikasjon i Norconsult.