Stygg sikkerhetsglipp hos norsk kartleverandør

En liste over et utvalg av kundene til Maponweb i Ugland-gruppen lå åpen for alle som ville se. - Dette skal bare ikke skje. Det er vår jobb å tenke sikkerhet, sier administrerende direktør i Ugland IT Group til digi.no.

digi.no fikk i går et tips fra en leser som ved en tilfeldighet hadde dumpet borti sensitiv informasjon fra en kartleverandør. En spesiell nettadresse, som ikke var passordbeskyttet, avslørte endel av kundene til selskapet Maponweb som er fusjonert inn i Ugland IT Group.

Det gikk an å søke om data på en mengde kjente selskap, som Aftenposten, VG, SOL, Alcatel, Elkjøp, Ernst & Young, Selmer, Selvaag-gruppen og IF for å nevne noen av de mest kjente på listen.

- Det er korrekt at det har eksistert et enkeltstående hull til en mindre del av kundeoversikten vår. Det er svært beklagelig, men det viktigste for oss er at det ikke har vært mulig å hente ut kundesensitiv informasjon. Oversikten viser en totalliste over alle kundene som har sortert under ett av produktene til Maponweb, sier administrerende direktør Rune Zakariassen til digi.no.

I utgangspunktet så det ut som om glippen var svært alvorlig, der det var mulig å søke og hente ut informasjon om kunder som ikke hadde betalt fakturaene og sortere resultatene på månedsbasis. Zakariassen avviser imidlertid at dette har vært mulig.

Slik så den åpne siden ut, inkludert en skrivefeil


Han sier det er en ren teknisk glipp fra Uglands side og mener at dette absolutt kunne teoretisk skade selskapet, hvis kundeoversikten kom i gale hender:


- Det er vår jobb å tenke sikkerhet. Derfor er det ekstra kjedelig for oss å oppleve hull i vår lokale interninformasjon. Den directory-listen som ligger åpent ute, skal ikke være teknisk mulig å få tilgang til i utgangspunktet. Hvis noen konkurrenter med dårlige hensikter hadde fått tak i den, ville det vært mulig å skade oss, sier han.

Zakariassen hevder det er første gang at selskapet har opplevd hull i systemene sitt.

- Vi foretar en tung operasjon hvor vi skal samordne hele back-end-løsningen i tre selskap, opplyser han.

Ugland-selskapene Publikit, Maponweb og FlexIm Infowiz fusjonerte for en stund siden for å bli en ledende aktør i Skandinavia på markedet for geografisk informasjonsteknologi (GIT) og lokasjonsbaserte tjenester. Det nye navnet er Ugland IT Group.

- Samordningsprosessen med tre tyngre teknologiplattformen har vært krevende, og har medført at dette hullet ikke har vært fanget opp på et tidligere tidspunkt. Det paradoksale er at vi akkurat i disse dager legger om for å gjøre hele plattformen både sikrere og tryggere, sier han.

Til toppen