ÅPEN TUR: Informasjon om kjøreoppdrag for en rekke drosjesentraler i Norge og Danmark lå åpent og ubeskyttet. Foto: Nina Hansen / Dagbladet
ÅPEN TUR: Informasjon om kjøreoppdrag for en rekke drosjesentraler i Norge og Danmark lå åpent og ubeskyttet. Foto: Nina Hansen / DagbladetVis mer

Avslører demente med nøkkel i lomma, dialysepasienter og elever som skal stroppes fast

Taxi-leverandør lot «dørene stå åpne».

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Detaljert og sensitiv informasjon om oppdrag ved en rekke drosjesentraler i Norge og Danmark lå åpent og ubeskyttet på nett.

Felles for dem er at tjenesten er levert av det norske selskapet Transport Data Systems AS (TDS).

- Spennes fast Den åpne tilgangen gir informasjon hvilke turer som er bestilt, med hvem, hvor - og i noen tilfeller hvorfor. Ved en av sentralene Dagbladet har sett åpen, gis det blant annet følgende beskjeder til sjåføren:

- Har nøkkel i lomma, er dement
- (Skoleelev) Skal spennes fast med stropper
- Følges til dialysen

Kundene referes ofte til med mobilnummer og/eller adresse.

Pasientinfo Ifølge TDS er systemet åpnet for å gi bestillere enkel tilgang ved de respektive drosjesentralene. Nasjonalt informasjonssystem for pasientreiser (Nissy) er blant disse.

Via systemet kunne Dagbladet se oppdrag bestilt av blant annet flyktningetjenesten, Nissy, dagsentere og lokale barneverntjenester. Det var også mulig å se hvem som reiste bort, via informasjon om «kjøring til flyplass».

«TDS har nå hovedfokus mot taxi-markedet i Skandinavia. Teknologien er banebrytende på det Skandinaviske taximarkedet,»
heter det på selskapets egne nettsider.

- Vårt ansvar Dagbladet oppsøkte TDS på Hvalstad i Asker før jul.

- Det er nok vi som har åpnet ut, så det ansvaret må vi ta, sier IT- og supportansvarlig Ole Petter Bogen til Dagbladet.

Artikkelen fortsetter under annonsen

Via de åpne sentralene hadde Dagbladet tilgang til informasjon om flere tusen bestilte og utførte taxi-turer rundt om i Norge.
 
TDS leverer utstyr til cirka 40 sentraler i Norge og Danmark.

- Det er kun noen av disse man har hatt tilgang til, sier Bogen.

Han opplyser ikke hvor mange av de 40 dette gjelder. Dagbladet har kun testet et tilfeldig utvalg for å se hvorvidt sentralene er åpne og tilgjengelige. Fire av de fem som ble testet viste seg å være åpne.

- Ikke sikkert I prinsippet kunne Dagbladet ha lagt inn egne bestillinger i taxi-systemet.

TDS hevder selskapet ikke var klar over at informasjon var tilgjengelig via nettet.

- Når systemer utvikles over tid, er det fort at noe går en hus forbi. Ingen systemer er 100 prosent sikre. Det vet vel dere som har jobbet med serien «Null CTRL», og som snart har kommet inn over alt, sier daglig leder Morten Strøm Enersen til Dagbladet.

Ønsker fokus Det norske selskapet TDS understreker at fokus på datasikkerhet er positivt.

- Dette arbeidet er mer omfattende enn vi først så for oss. Kontroll er selvfølgelig målet vårt, men i denne perioden vi er inne i nå kan vi ikke si at målet er oppnådd 100 prosent. Vi er usikre på om alt vi har gjort er nok, sier Bogen.
 
- Målet må være å komme så nærme 100 prosent sikkert som mulig. Derfor er vi glade for at dere finner slike hull, slik vi kan rette det opp. Vi setter pris på det, sier Enersen.

Dagbladet presiserer at det kreves noe datakunnskap for å kunne utnytte denne aktuelle svakheten i TDS-systemet. Dagbladet har tidligere omtalt andre taxi-sentraler, som lå åpent tilgjengelig for alle.

Varslet oppvask Dagbladet har avslørt hvordan sensitive data om 5958 drosjekunder knyttet til Oslo Taxi lå ubeskyttet på Internett.

Ifølge daglig leder Bjørn Rebne i Oslo Taxi kan databasen ha ligget åpen på nett i et år.

Oslo kommune har i etterkant varslet en gjennomgang av kontrakten med Oslo Taxi. Både Datatilsynet og taxi-brukere har reagert på lovbruddet

- Det er veldig beklagelig at en type informasjon vi ikke ønsker skal være tilgjengelig for noen, lå åpent, sier daglig leder Bjørn Rebne i Oslo Taxi til Dagbladet.