DYSTERT: Dagbladet har avdekket en rekke drosjeselskaper med sensitive data om kunder liggende åpent på nett. Arkivfoto: Nina Hansen/Dagbladet
DYSTERT: Dagbladet har avdekket en rekke drosjeselskaper med sensitive data om kunder liggende åpent på nett. Arkivfoto: Nina Hansen/DagbladetVis mer

Dagbladet fant åtte åpne drosje-servere på nett

- Ingen forstår hvorfor.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Dagbladet har avslørt hvordan sensitive data om flere tusen drosjekunder i lang tid har ligget åpent og ubeskyttet på Internett.

Ifølge daglig leder Bjørn Rebne i Oslo Taxi kan databasen ha ligget åpent på nett i et år.

Ikke alene Men Oslo Taxi er ikke det eneste selskapet med større dataglipp. I research av serien «Null CTRL» har Dagbladet funnet tilsammen 14 dataservere tilhørende ulike taxiselskaper.

Åtte av disse lå helt åpent, uten noen form for passordbeskyttelse.

RETT PÅ NETT: Seks drosjeselskaper hadde informasjon fra taksamateret liggende på en åpen FTP-server. Foto: Skjermdump
RETT PÅ NETT: Seks drosjeselskaper hadde informasjon fra taksamateret liggende på en åpen FTP-server. Foto: Skjermdump Vis mer

Hvem de ulike serverne tilhører, kan du lese i en egen faktaboksen.

Seks av systemene er levert av ett og samme selskap, Transport Data Systems AS (TDS).

«TDS har nå hovedfokus mot taxi-markedet i Skandinavia. Teknologien er banebrytende på det Skandinaviske taximarkedet,»
heter det på selskapets egne nettsider.

«Skjerp dere» De aktuelle serverne inneholder informasjon for hver av bilene eller løyvene tilhørende den respektive drosjesentralen. Sortert i mapper ligger det informasjon om bilenes oppdrag, hvem kjøreoppdraget er for, betalingsinformasjon, hvor man hentes og hvor man leveres.

Store mengder data er kunde-sensitivt.

Ved enkelte sentraler framkommer også kommunikasjon og beskjeder sentralen gir til sjåførene. Som for eksempel:

- Nå må dere skjerpe dere. Vi får mange klager.

TUSENVIS AV FILER: For hver bil tilhørende sentralen, ligger det filer med detaljert informasjon, dag for dag. Dagbladet gjengir ikke bilder av den detaljerte informasjonen i filene du her ser. Foto: Skjermdump
TUSENVIS AV FILER: For hver bil tilhørende sentralen, ligger det filer med detaljert informasjon, dag for dag. Dagbladet gjengir ikke bilder av den detaljerte informasjonen i filene du her ser. Foto: Skjermdump Vis mer

I tillegg inneholder serverne en rekke tekniske data.

- Vi forstår ikke hvorfor - Jeg kan bekrefte at basen har ligget åpen, noe som er tilfelle for flere selskaper som bruker den samme taksameter-leverandøren, sier daglig leder Bjørn Christiansen i Taxi Sør til Dagbladet.

- Ingen forstår hvorfor det har stått åpent. Nå er den stengt. Jeg vil gjerne takke Dagbladet for at vi fikk beskjed om dette, sier Christiansen.

- Nå er det stengt Etter Dagbladets henvendelser til drosje-selskapene, har disse henvendt seg til leverandøren TDS. Leverandøren tar imidlertid ikke på seg alt ansvar:

- Flesteparten av våre kunder drifter sine taxisystemer og brannmurer selv. Men på grunnlag av flere spørsmål fra kunder har vi vært gjennom alle kundene sine brannmurer og stengt den åpne tilgangen til ftp-serverne, skriver Ole Petter Bogen i Transport Data Systems i en e-post til Dagbladet.

Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer

- Jeg har ikke noen kommentar til dette, unntatt å fikse det, sier daglig leder Harald Danielsen i Taxi 3 Østfold.

Dagbladet er kjent med at minst to drosjeselskaper oppdaget feilen selv, og har ryddet opp på egen hånd. En av dem er Harstad taxisentral.

- Takk for at dere sier fra. Feilen ble oppdaget for en tid tilbake - og rettet, sier daglig leder Tom Jakobsen ved Harstad Taxisentral.

Seks lukkede Dagbladet fant ytterligere seks drosjedatabaser koblet til nett, tilhørende en annen leverandør. Disse hadde imidlertid en viss datasikkerhet i form av passordbeskyttelse.

MAPPE FOR HVER BIL: For hver bil tilhørende sentralen, ligger det filer med detaljert informasjon, dag for dag. Dagbladet gjengir ikke bilder av den mest detaljerte informasjonen fra mappene du her ser. Foto: Skjermdump
MAPPE FOR HVER BIL: For hver bil tilhørende sentralen, ligger det filer med detaljert informasjon, dag for dag. Dagbladet gjengir ikke bilder av den mest detaljerte informasjonen fra mappene du her ser. Foto: Skjermdump Vis mer

Dagbladet har tidligere omtalt dataglippen ved Oslo Taxi, hvor et kartotek med 5958 kunder lå åpent på nett. Men på samme IP-adresse fant Dagbladet også en annen database tilhørende Oslo Taxi.

Alarmer på nett Den andre basen inneholder oversikter over alarmer utløst i drosjene, hendelsesforløp og drosjesentralens håndtering av situasjonen. I basen kunne man for eksempel sjekke hvilken drosje som oftest var utsatt for ran eller overfall - eller hente ut informasjon om konkrete episoder.

- Det skal jo ikke være åpent. Det er et system som fanger opp vår arbeidssituasjon og som jeg er fornøyd med. Men at noen andre har tilgang til det er jeg ikke fornøyd med. En arbeidstaker som har vært i en situasjon, vil varsle sin arbeidsgiver, men ikke hele Norge, sier
fylkesleder Glenn Tuxen i Norges taxiforbund.

- Beklager Oslo Taxi har i ettertid lukket begge de aktuelle databasene.

- Det er veldig beklagelig at de to programmene som hadde en type informasjon vi ikke ønsker skal være tilgjengelig for noen, lå åpent, sier daglig leder Bjørn Rebne i Oslo Taxi til Dagbladet.

PRISINFO: Basene inneholder også informasjon som trolig ikke er sensitiv, for eksempel gamle og nye priser. Foto:Skjermdump
PRISINFO: Basene inneholder også informasjon som trolig ikke er sensitiv, for eksempel gamle og nye priser. Foto:Skjermdump Vis mer

Oslo kommune har i etterkant varslet en gjennomgang av kontrakten med Oslo Taxi. Både Datatilsynet og taxi-brukere har reagert på lovbruddet.