<strong>ÅPENT FOR ALLE:</strong> På Viasats Mine sider kan hvem som helst se andres fakturaer, ved enkelt å skifte ut tall i URL-en. Foto: Skjermdump
ÅPENT FOR ALLE: På Viasats Mine sider kan hvem som helst se andres fakturaer, ved enkelt å skifte ut tall i URL-en. Foto: Skjermdump Vis mer

- Det er så alvorlig at vi har stengt tjenesten

Viasats kundefakturaer lå åpent på nett.

Hei, denne artikkelen er over ett år gammel og kan inneholde utdatert informasjon
Publisert
Sist oppdatert

(Dagbladet): Hos TV-nettverket Viasat lå en mengde kundefakturaer vidåpne på nett, slik at hvem som helst kunne se dem.

- Det var helt nytt for meg, jeg må sjekke dette, sier selskapets pressesjef, Siv Heimdal når Dagbladet ringer.

«Sekvensnummer» Dagbladet ble gjort kjent med saken av en av Viasats kunder, som fattet mistanke da han logget seg inn på sin egen kundeside og så at URL-en til web-fakturaen hans så ut som et sekvensnummer.

- Jeg er opptatt av informasjonssikkerhet og pleier alltid å føre noen enkle kontroller når jeg ser løsninger som kan virke sårbare. Hensikten er først og fremst å sikre at mine egne opplysninger ikke er fritt tilgjengelig for andre, sier han.

- Jeg forsøkte å endre de siste sifrene i URL-en. Det ga meg umiddelbart tilgang til andre kunders faktura, med informasjon knyttet til vedkommendes kundeforhold.

Stengt ned Etter at Dagbladet ringte Viasat og fortalte om funksjonen, har selskapet valgt å midlertidig legge ned tjenesten:

- Vi har sjekket det dere fortalte oss, og det viser seg at det stemmer. Det er veldig beklagelig. Nå har vi tatt ned hele fakturatjenesten, og vi kommer ikke til å åpne denne før den er helt sikret. Forhåpentligvis fikses det fort, men fram til det må kundene våre ringe kundeservice for fakturatjenester, sier Heimdal.

Viasat vet foreløpig ikke hvorfor det var mulig å sjekke andre fakturaer enn sine egne.

- Det hadde ingen umiddelbar forklaring på hvordan dette har kunne skjedd. De har nå satt seg ned for å se på dette, og hvordan problemet kan løses. Det er veldig leit for kundene, som ikke kan bruke våre fakturatjenester nå. Vi er veldig takknemlige for at kunden sa ifra til dere, sier hun. 

Kunne lastes ned Utvikler Ola Strømman i Dagbladet opplyser at IT-kyndige personer enkelt kunne ha laget et script som raskt lastet ned alle kundedataene.

I tillegg kunne potensielle svindlere for eksempel ha sendt ut fakturaene med nytt og byttet ut Viasats kontonummer med sitt eget.

Heimdal ser alvorlig på det hele, men påpeker at mye sensitiv informasjon var utelatt.

<strong>ALVORLIG:</strong> Pressesjef Siv Heimdal i Viasat sier at de ser såpass alvorlig på saken at de midlertidig har sperret ned hele fakturatjenesten. Foto: Viasat
ALVORLIG: Pressesjef Siv Heimdal i Viasat sier at de ser såpass alvorlig på saken at de midlertidig har sperret ned hele fakturatjenesten. Foto: Viasat Vis mer

- Det er viktig å understreke at ingen personopplysninger foruten navn, adresse, kundenummer og abonnementstype lå ute. Likevel er det selvfølgelig leit at fakturaene lå tilgjengelig, eller at man kunne søke seg fram til forskjellige fakturaer. Det er veldig alvorlig - så alvorlig at vi velger å legge ned tjenesten til problemet er fikset.

- Hadde dere sett for dere at det var mulig med et slikt sikkerhetshull? 

- Nei, det var ikke noe vi hadde sett for oss at kunne gå an. Vi satte oss ned med en gang og prøvde å søke og endre tall i URL-en. Så vidt jeg kunne se var det bare helt tilfeldige fakturaer man fikk opp, man kan ikke søke seg fram til en konkret person eller faktura, men det skal jo ikke være slik.

Datatilsynet reagerer Direktør Bjørn Erik Thon i Datatilsynet er sjokkert over opplysningene.

- Det viser at de har laget et veldig usikkert system som det er lett å gå inn i. Hele hensikten med «Min side» er jo at det er min side, ikke din og min.

Han reagerer på opplysningene som lå ute.

- Det er ingen andre som skal vite hvilke TV-avtaler du har, eller hvilke opplysninger de har lagret om deg. Sånt skal ikke ligge ute, sier Thon.

- Svært sikkerhetshull - Hva bør Viasat gjøre nå?

- De må absolutt lukke sikkerhetshullet, med en gang. Det er et svært sikkerhetshull, og Viasat må nå sende avviksmelding til oss i Datatilsynet, sier han.

- Må de også informere kundene sine om dette?

<strong>- SKAL IKKE VÆRE SLIK:</strong> Datatilsynet-direktør Bjørn Erik Thon er overrasket over sikkerhetshullet hos Viasat.
Bjørn Erik Thon.
Foto: Jo Straube / Dagbladet
- SKAL IKKE VÆRE SLIK: Datatilsynet-direktør Bjørn Erik Thon er overrasket over sikkerhetshullet hos Viasat. Bjørn Erik Thon. Foto: Jo Straube / Dagbladet Vis mer

- Nei, det kan ikke jeg ta stilling til, men dersom det nå viser seg at personlige opplysninger har kommet på avveie, så må de gi beskjed til de som er rammet, sier Thon.

Heimdal forteller at det er usikkert når Viasats fakturatjenester vil være oppe og gå igjen.

- Vi vet ikke hvor lang tid det kommer til å ta, men vi kommer ikke til å åpne tjenesten før det er helt sikkert, sier hun.

Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer

Vi bryr oss om ditt personvern

dagbladet er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Les mer