Panikk i storbank

Ved hjelp av svært enkle grep ble kontoene til 800 000 kunder i Sparebanken NOR lagt åpne for innsyn. Via bankens nettsider kunne 60 000 nettkunder sjekke alle transaksjoner og konti, både de som er på nett og de som ikke er det. I går skapte dette full panikk i banken, som sperret sin Internett-tjeneste umiddelbart.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Sikkerhetshullet omfattet også den rene nettbanken Parat 24, samt Sparebanken Møre og Sparebanken Sogn og Fjordane. Det betyr at kontoene til over en million nordmenn lå åpent for innsyn. Både firma- og personkunder ble rammet.

Sjokkert

Mange av Dagbladets ansatte er kunder hos Sparebanken NOR, og det vakte betydelig oppsikt da vi med enkle grep kunne sjekke hvor mye andre kolleger hadde fått utbetalt i lønn, og hvor mye penger de hadde igjen.

En kollega sjekket til og med hvor mye mor hadde på kontoen. I tillegg kunne han se hvor hun hadde handlet, og hvor mye penger hun hadde brukt på hva.

Innsyn i bedrifter

Enda mer alvorlig er det nok for Sparebanken NORs over 100 000 firmakunder. Informasjonsdirektør Mona Strøm Arnøy i Sparebanken NOR bekrefter overfor Dagbladet at datakyndige også kunne få adgang til bedriftskonti. Enhver bedriftssjef vil grøsse over at konkurrenten hadde mulighet til å se hvor store utbetalinger firmaet hadde - og til hvilke leverandører. Det er bedriftshemmeligheter.

- Uansett om det bare var en teoretisk mulighet for slike innsyn, er det svært alvorlig og ubehagelig for oss, sier Arnøy.

Ved halv fire tida i går ettermiddag kontaktet Dagbladet Sparebanken NORs hovedkontor i Oslo. Umiddelbart etter ble nettbanken sperret. Også de tre andre nettbankene som brukte det samme systemet ble stoppet, til og med før bankenes ledelse ble informert.

- Det er ikke noe annet å si om dette enn at det er svært beklagelig. Slikt skal ikke skje. Vi er veldig glad for at dere forteller oss dette, selv om vi nok helst hadde sett av 17-åringen som oppdaget dette, hadde kommet rett til oss, sier informasjonsdirektør Mona Strøm Arnøy i Sparebanken NOR. Det var i går svært hektisk aktivitet i bankens IT-avdeling. To IT-konsulenter som jobbet på spreng, ville ikke navngis eller fotograferes, og var åpenbart svært brydd over det store sikkerhetshullet. Seint i går kveld ble feilen rettet opp og nettbanken ble satt tilbake i drift.

- Det var aldri snakk om at noen kunne stjele penger fra andres konti. Dessuten må du jo både kjenne kundens kontonummer og ha mer enn vanlige datakunnskaper for å kunne utføre dette, sier utviklingssjef John Erik Bull.

Terningkast 3

IT-seksjonen i banken påtar seg alt ansvar for fadesen. - Det var en kjempeglipp. Det er det ingen tvil om, sier Bull. NOR har brukt dataløsningen med sikkerhetshullet i to og en halv måned.

Da Dagbladet testet sikkerheten i nettbankene, kom NOR i nest siste pulje, med terningkast tre og beskrivelsen «ikke fullt så bra».

Etter dette endret banken sin nettløsning. Den nye løsningen har bankens egne medarbeidere laget.

NEDTRYKT: - Dette skulle aldri ha skjedd, sier informasjonsdirektør Mona Strøm Arnøy og untviklingssjef John Erik Bull. Dagbladets journalist til venstre.