Slik kunne du klikke - og kikke

Å sjekke NOR-kundenes saldo og kontoinformasjon var ingen eksklusiv hacker-kunst. Du kunne rett og slett sette inn et kontonummer i adressefeltet på nettleseren din, og vips kunne du se om hvor mye naboen har i månedslønn.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Dette hadde vi ikke skrevet dersom det fortsatt hadde vært mulig. Men i går kveld ble sikkerhetshullet tettet, og i dag skal NORs nettbank være på lufta igjen.

Her er framgangsmåten som den datainteresserte 17-åringen Erik Karlsen fra Vinje fant ut av:

  • I utgangspunktet måtte du være nettkunde hos NOR.
  • Du logget deg først inn på vanlig måte, med brukernavn og tallkombinasjon hentet fra sikkerhetskortet.

I utgangspunktet var adressefeltet i nettleseren skjult. For å få det fram, gikk du til menyen på nettleseren, klikket «Vis» og så «verktøylinje» fra undermenyen. Følgende linje kom da opp:

https://web.nor.no/main.asp?app=nnb&fn=5&bank=nor

  • Mellom de to «&»-tegnene kunne du så legge inn nummeret på den kontoen du ville sjekke. Feltet ble da seende slik ut: https://web.nor.no/main.asp?app=nnb&fn=5&account= kontonummer &bank=nor
  • Så var det bare å kikke i vei. Erstattet du «fn=5» med f.eks. «fn=9», fikk du også se transaksjoner bakover i tid. I prinsippet kunne du få tilgang til all informasjon om kontoinnehaverens privatøkonomi, både nå og tidligere.