Hopp til navigasjon Hopp til innhold
Bings nye måte å indeksere data på gir trøbbel for norske virksomheter, hvis data nå er søkbare på nettet. (Ill.: Per Ervland/ITavisen)

Stor datalekkasje: Har lekket følsom informasjon til Bing i «minst to måneder»

Ny indekseringsmetode skaper kaos for norske virksomheter.

16. mai fant nettsiden Digi.no titusenvis av søkeresultater med til dels følsom informasjon i søkemotoren Bing.

Det skal gjelde informasjon om for eksempel kredittgrenser til kunder i Sparebank1 i fakturaer fra Evry som hadde blitt indeksert av søkemotoren.

Flere virksomheter rammet
Søkeresultatene skal nå være fjernet, etter at Digi informerte Evry om sikkerhetslekkasjen.

Grunnen skal være en endring i nettleseren Microsoft Edge, som har sendt informasjon til Bing for indeksering, selv om informasjonen skal ha ligget bak en passordmur.

Det samme skal ha skjedd med Statens vegvesen sitt bompengesystem Autopass, men også her ble det gjort raske endringer for å fjerne infomrasjonen.

Også Brønnøysundregistrene skal ha lagt ut informasjon om for eksempel fødselsnumre på nettet, som nå har vært tilgjengelig i Bing i månedsvis, melder NRK.

Bing indekserer på ny måte
– Microsoft har kommet med en ny måte å crawle og indeksere på. Innhold som før ikke ble indeksert, blir indeksert nå. Løsninger som NSM tidligere anså som sikre, er ikke sikre lenger, sier Hans Christian Pretorius i Nasjonal Sikkerhetsmyndighet til digi.no.

Ifølge NSM er det bruken av unike, private nettadresser som nå blir indeksert av Bing. Disse har vært brukt til å la brukere se på kvitteringer, fakturaer eller «andre sensitive dokumenter» uten at brukeren har måttet logge seg inn.

I dialog med Microsoft
«NSM er i dialog med Microsoft og gir råd til berørte virksomheter om hvordan man kan fjerne data som ikke var ment å være synlig gjennom søkemotorer.» Skriver NSM på nettsidene sine.

Indekseringen av private, unike nettadresser med følsom informasjon skal ha pågått i minst to måneder, skriver NSM videre.

«Et strakstiltak for virksomheter som er berørt vil være å benytte Bing webmaster tools til å blokkere berørte adresser. Dette må kombineres med fjerning eller nedlåsning av adressene på virksomhetens side,» heter det i meldingen fra NSM.

Datatilsynet etterforsker
Nå har også Datatilsynet rykket ut med en melding om at slike avvik må meldes inn til dem.

– Alt tyder på dette er en sak med stort omfang, sier Datatilsynets direktør Bjørn Erik Thon. – Nå er det viktig at virksomheter som er rammet melder inn avvik til Datatilsynet og at de sørger for å rydde opp og lukke avviket umiddelbart.

– Vi vil starte undersøkelse i to retninger: Microsofts rolle, og virksomhetene som har lekket data, sier han videre.

Kilder
Digi.no
NRK
Datatilsynet
Nasjonal Sikkerhetsmyndighet

Stikkord: sikkerhet