Tirsdag denne uken slapp det norske selskapet Netaxept sin småbetalingsløsning på det danske mediemarkedet.
Nesten umiddelbart oppsto det problemer.
Den danske nettavisen Comon.dk meldte at det allerede onsdag kveld var funnet et hull i systemet som avslørte samtlige transaksjoner, innbetalinger og varekjøp. Oppdragsgiveren til Netaxept, den danske nettorganisasjonen Foreningen for Danske Internetmedier (FDIM), bekreftet at det lykkes noen brukere å komme inn i systemet på onsdag, men at feilen ble rettet onsdag natt.
Feilen skal ha oppstått fordi transaksjonenes firesifrede ID-nummer var ført opp i selve URL-en, det vil si nettadressen. Ved å endre sifrene kunne registrerte brukere se transaksjonene én for én.
Administrerende direktør Hans Petter Evensen i betalingsleverandøren Netaxept avviser at de har gjort en tabbe og påstår at ingen konfidensielle opplysninger har lekket ut.
- Det ble skrevet i danske medier om hull i systemprogramvaren. Vi har undersøkt den, og den virker helt i orden. Vi har kontroll på situasjonen uten at det er oppstått noen alvorlig skade, sier han og vil ikke gå i detaljer på hva slags angrep som gjøres.
Selskapet har Posten (ErgoGroup), Den norske Bank (DnB) og konsulentselskapet Accenture AS på eiersiden, noe som beroliger Evensen.
- Soliditeten på den tekniske siden er bra, vi har helt kontroll føler jeg. Men vi liker uansett svært dårlig disse forsøkene på sabotasje, sier han
På de danske sidene som hører til betalingssystemet Valus.dk står det som følger:
"Valus har det seneste døgn været udsat for massiv "hacker"-lignende aktivitet, og der er behov for at undersøge, hvad aktiviteterne centreres om. Ingen uvedkommende har haft adgang til Valus, men vi har alligevel stoppet systemet, indtil alle aktiviteter er blevet undersøgt."
- Det har svært et skikkelig hacker-angrep og sabotasje mot systemet, opplyser Evensen.
- Angriperne synes å ha hatt ondsinnede hensikter. Den store stormen var i går, derfor tok vi ned systemet i natt. Nå tar vi det opp og ned akkurat som det passer oss, for å samle spor. Vi har en videre plan som jeg ikke ville si så mye mer om. Det regner jeg med at du forstår, sier den norske direktøren.
Netaxept har ikke anmeldt forholdene til dansk politi ennå, men er opptatt med å samle bevis før de går til anmeldelse.
- Vi ser veldig alvorlig på saken, sier Evensen.
- Det blir ren spekulasjon hva som kan være årsakene til angrepene, men noen vil tydeligvis ta oss. Angrepene kommer fra både Norge og Danmark, og det ser ut som det er gjort systematisk.
Han fastholder at ingen konfidensielle opplysninger har lekket ut og at systemet skal være tilbake i fullt gjenge igjen i dag eller i morgen. Heldigvis for Netaxept var det et ytterst fåtall av de drøyt 50 medlemmene av FDIM som har tatt systemet i bruk,. Foreløpig gjelder det kun dansk TV2 (DK), portalen Jubii og myMusic.dk.
- Det er småpengeløsningen som er angrepet. Det er klart at vi der må ha et annet sikkerhetsnivå enn man for eksempel har i nettbanker. Det blir en balansegang mellom brukervennlighet og sikkerhet, sier Evensen.
