– Jeg ble ganske paff da jeg fant en voldtektssak fra min nabokummune med navn og adresse på både offer og gjerningsmann, sier sikkerhetseksperten Steinar Taubøll til ITavisen.no.
Adressefelt-endring
Han oppdaget hullet på Oslo Byretts nettserver ved en tilfeldighet for om lag en måned siden. Det skjedde mens han brukte nettleseren Netscape, som av en eller annen grunn ikke viser innholdet på byrettens sider korrekt.
For å få fram informasjonen han lette etter, forsøkte han å skrive tilfeldige id-numre direkte inn i adressefeltet.
Overraskelsen var stor da han plutselig fikk opp en sak som helt klart ikke skulle ha ligget åpent tilgjengelig for almenheten.
Annonse
Enkelt
Taubøll er jurist og IT-mann og driver eget konsulentfirma med fokus på sikkerhetsproblematikk. Men i dette tilfelle trengte han ikke rare kunnskapen.
– Dette var svært enkelt. Jeg tok umiddelbart kontakt med Oslo Byrett, og jeg kunne nærmest høre hvordan de frøs på ryggen.
Det er EUNet/KPNQuest som har hånd om byrettens server. De fikk tettet hullet umiddelbart.
For pressen
Informasjonen er i utgangspunktet ment for pressefolk, som må ha brukernavn og passord få få tilgang til slike dokumenter. I henhold til pressens etiske regler skal ikke slike opplysninger bringes videre dersom ikke særlige grunner taler for det.
Dokumentene som ble tilgjengelige ved et enkelt håndgrep omfattet både domsavsigelser og tiltalebeslutninger. Enkelte av domsavsigelsene stammer fra saker som ble ført fra lukkede dører.
Alvorlig
I de dokumentene som domstolene legger ut for offentligheten er navn og andre opplysninger som kan identifisere de involverte som oftest tatt ut. Dette gjelder spesielt straffesaker av svært alvorlig karakter, som drap og voldtekt.
– Vi ser meget alvorlig på dette. Men vi ønsker jo å oprettholde tjenesten for pressen. Vi har fått forsikringer fra KPNQuest om at rutinene er skjerpet, og at det ikke vil skje igjen. Vi føler oss sikre på at dette er et enkelttilfelle, sier konstituert justitiarius ved Oslo byrett Lise-Lena Kjønstad.
Lite omfang
– I ettertid har vi oppdaget at en eneste person har vært innom og prøvd seg, trolig for å teste om hullet var tettet. Vi antar at det er den samme personen som tipset oss i utgangspunktet. Hullet oppsto etter en feilretting kort tid før vi ble tipset, så det har ikke eksistert lenge. Dermed tror jeg vi kan konkludere med at dette ikke har hatt særlig omfang, sier administrerende direktør Per Brose i KPNQest.
NOR-saken
Denne typen sikkerhetshull minner sterkt om en sak fra i fjor, der Sparebanken NOR og deres samarbeidspartnere opplevde at en tenåring fra Telemark kunne erstatte sitt eget bankkontonummer med en annens i nettleserens adressefelt og dermed få oversikt over både saldo og bevegelser på den fremmede kontoen.
Annonse
