Denne CD-platen inneholder fødselsnummeret til 3,95 millioner nordmenn.

Brukte gammelt passord på skandale-CD

Skatteetaten brukte ett år gammel krypteringsnøkkel da de sendte ut CD med 3,95 millioner fødselsnumre.

NRK avslørte tirsdag kveld at Skatteetaten har tabbet seg ut og sendt ut en CD med fødselsnummeret til 3,95 millioner norske skatteytere til åtte norske redaksjoner.

Ifølge en NTB-melding var opplysningene krypterte, slik at eventuelle uvedkommende ikke ville få ut informasjonen selv om de fikk tak i CD-platen:

Men opplysningene ligger ikke åpent tilgjengelig på platene.

For å få tilgang til dataene på CD-platene fra Skatteetaten må man nemlig ha en krypteringsnøkkel som er 30 siffer lang.

Filen på CD-platen kom som en 118 megabyte stor eksekverbar fil (.exe) som var kryptert. Når man kjører den blir man bedt om å skrive inn krypteringsnøkkelen, og så pakkes en 545 megabyte stor tekstfil ut. Den inneholder 3,95 millioner rader, en rad for hver skatteyter og radene inneholder fødselsnummeret til samtlige.

Etaten reddet seg tilsynelatende inn takket være kryptering av filen, men digi.no kan nå avsløre at det ikke var godt nok. Skatteetaten har hatt en sikkerhetssvikt i forhold til utdeling og bruk av sikkerhetsnøkkelen.

Dataene det er snakk om er for ligningsåret 2006. Redaksjonene som mottok CD-platen har alle hver sin nettbaserte tjeneste for å slå opp i ligningen. Skattedataene som tjenestene bruker blir oppdatert flere ganger i året, og da får redaksjonene en ny CD med oppdaterte opplysninger.

Den utsendte CD-platen som inneholdt fødselsnummerne var en oppdatert utgave, den tredje i rekken.

Alle CD-platene var kryptert, men Skatteetaten brukte samme krypteringsnøkkel hver gang.

Det betyr i praksis at Skatteetatens tabbe var et uhell som ventet på å skje.

Den første CD-platen kom i juli 2007. Da måtte krypteringsnøkkelen hentes på en sikker side på Skatteetatens hjemmeside. Denne prosedyren fremstår som ryddig og god, og det er ingen grunn til å tro at selve passordet har kommet på avveie.

Senere på året kom den første oppdateringen, og alle redaksjonene som har tjenester for skattesøk, oppdaterte sine databaser.

Da den tredje CD-platen kom i juli 2008, oppdaget IT-personen i som skulle oppdatere databasen at det var noe galt med dataformatet. En kjapp test før import-prosedyren ble startet viste at det ikke stemte overens. Han sendte derfor en epost til Skatteetaten for å få dataene i det riktige formatet.

Hei,

Jeg skulle legge ut den nyeste oppdateringen deres, men ser at filen ikke er i samme format som tidligere, og heller ikke alle radene er tatt med i denne versjonen. Kan dere sende oss en ny full dump av deres lister i gammelt format (slik som beskrevet i deres første brev)?

Som NRK's avsløring viste, så skyldes det uriktige dataformatet at fødselsnummerne var blitt lagt til i datamengden. De skulle aldri ha vært med.

De åtte redaksjonene som har fått CD-platen er NRK, VG, Aftenposten, Dagbladet, Dagens Næringsliv. E24, ABC Nyheter og digi.no's søsterpublikasjon DinSide.no. Ingen andre skal ha fått tilgang på CD-en.

- Skattedirektoratet har bedt samtlige åtte redaksjoner levere tilbake CD-ene samt gi skriftlig garanti for at eventuelle kopier er slettet, sier skattedirektør Svein Kristensen til NTB.

digi.no og DinSide.no eies av Aller Internett AS, og selskapets nestsjef, Terje Johansen, har vært i samtaler med Skatteetaten i forbindelse med saken. CD-platen ble overlevert i ettermiddag, og Johansen garanterer på vegne av selskapet at alle data har blitt slettet.

Skatteetaten kan trolig puste lettet ut, men det er ikke mulig å komme bort fra at dette er en alvorlig sikkerhetssvikt.

    Les også:

Til toppen