Funksjonalitet i Trygg på reise-appen til Trygg forsikring åpnet fram til denne uken for innsanking om persondata om blant annet norske bileiere. Den eies av et firma, og derfor er det ikke oppgitt noe fødselsnummer.. (Bilde: Harald Brombach)

Trygg på reise

Norsk mobilapp åpnet for tapping av masse informasjon om norske bileiere

Tryg forsikring legger seg helt flate og har stengt muligheten.

Infotorg er en samling tjenester fra Evry hvor man som kunde blant annet kan gjøre oppslag i en rekke registre, inkludert Det sentrale motorvognregisteret.

Motorvognregisteret inneholder ikke bare data om selve kjøretøyet, men også om eieren og eventuelle medeiere. Blant annet er bostedsadressen og fødselsnummeret inkludert.

I utgangspunktet må man være en registrert kunde for å kunne bruke Infotorg-tjenestene. Dessuten må man betale for oppslagene. Men i noen tilfeller blir tjenestene videreformidlet av andre leverandører, slik at de med noen begrensning kan brukes ganske fritt av alle. 

Trygg på reise

Et slikt sted var fram til tirsdag appen Trygg på reise fra Tryg forsikring. Denne appen er tilgjengelig for både Android og iOS. 

I denne appen kunne brukeren enkelt få opplysninger om sine egne og andres kjøretøyer, bare ved å taste inn registreringsnummeret. Brukerne fikk også opp navnet på eieren.

Samlet er ikke dette mer informasjon enn det man kan få av tjenestene til Statens vegvesen. Men appen til Tryg forsikring kommuniserer direkte med kjøretøyregisteret hos Infotorg, og filtreringen av dataene som vises, skjer tydeligvis i appen og ikke av den SOAP-baserte (Simple Object Access Protocol) webtjenesten som appen benytter.

Tjenesten tilbyr langt flere og mer følsomme personopplysninger enn navnet på bileieren. Disse dataene har uvedkommende kunnet få tak gjennom en svakhet i hvordan appen til Tryg forsikring henter dataene.

«Man-in-the-middle»

Alle biler i Norge, inkludert kongens gamle Buick, kunne legges til i appen til Tryg forsikring.
Alle biler i Norge, inkludert kongens gamle Buick, kunne legges til i appen til Tryg forsikring. Bilde: Roy Solberg

Appen kommuniserte med serveren til Infotorg via en kryptert forbindelse. Men ifølge den norske utvikleren Roy Solberg, var det relativt enkelt å utføre et man-in-the-middle-angrep på denne ved å la trafikken fra appen gå via en proxy som dekrypterer trafikken, gjør innholdet lesbart for proxy-brukeren, før det blir kryptert på nytt og sendt videre. 

Dette gjorde det mulig å lese den øvrige informasjonen som tilbys av Infotorg-tjenesten, inkludert bostedsadressen og fødselsnummeret til både eieren av kjøretøyet og eventuelle medeiere. I tillegg kommer det fram informasjon om forsikringsavtale, ja det er til og med et felt for forrige eier.

Hemmelige adresser?

Et spørsmål som raskt meldte seg, var om kjøretøyregisteret til Infotorg også inneholder adressene til bileierne som har hemmelig adresse.

Men pressevakt hos Statens vegvesen, Simen Narjord, kan berolige alle med at Statens vegvesen ikke utleverer hemmelige adresser til Infotorg, Evry eller andre private aktører. 

Systematisk innsamling

Solberg har skrevet et blogginnlegg om det hele, hvor han forklarer hvordan dette kunne gjøres ved hjelp av HTTP-proxyen Charles på en PC og en enhet med Android 6 eller eldre.

Basert på disse verktøyene kunne Solberg se hvilke forespørsler appen sender til serveren, inkludert innloggingsinformasjonen som blir benyttet, altså brukernavnet og passordet. 

Disse forespørslene kunne deretter kopieres og manipuleres ved hjelp av verktøy som curl, noe som i utgangspunktet åpnet for systematisk og storstilt innsamling av personopplysninger. 

Muligheten til å la apper bruke sertifikater fra en hvilken som helst utsteder, har blitt begrenset i nyere versjoner av Android, noe som omtales her. Dette er gjort nettopp for å begrense mulighetene for man-in-the-middle-angrep. Men mange har fortsatt enheter med Android 6 eller eldre.

Varslet for seks måneder siden, knapt noen respons

Solberg skal ha kontaktet både Tryg forsikring og Infotorg via epost for et halvt år siden. Forsikringsselskapet svarte aldri på henvendelsen, mens Infotorg svarte innen det var gått et døgn og ba om mer informasjon. 

Solberg sendte dette, men skal deretter ikke ha fått noe svar, heller ikke på senere henvendelser, den siste i forrige uke. 

Ble stengt av Tryg forsikring selv

Eksempel på hva slags informasjon som var tilgjengelig via proxyen. Her er det informasjonen om fullskalamodellen av Il Tempo Gigante som vises. Den eies av et firma som naturlig nok ikke har noe fødselsnummer.
Eksempel på hva slags informasjon som var tilgjengelig via proxyen. Her er det informasjonen om fullskalamodellen av Il Tempo Gigante som vises. Den eies av et firma som naturlig nok ikke har noe fødselsnummer. Bilde: Roy Solberg

Mens digi.no testet appen til Tryg forsikring i går, la vi merke til at den på et tidspunkt ikke lenger fikk noen respons på oppslagene i tjenesten til Infotorg. Vi ba Solberg ta en titt, og han kunne fortelle at serveren nå returnerte en autentiseringsfeil på forespørslene, noe som tydet på at brukerkontoen var blitt stengt eller hadde fått nytt passord. 

Kommunikasjonssjef Ole Irgens hos Tryg forsikring kjente til problemene da digi.no tok kontakt med ham i onsdag formiddag.

– Vi ble oppmerksom på denne bloggen mandag, og iverksatte da tiltak slik at muligheten for å gjøre søk på bilnummer nå er stengt. Vi kommer ikke til å åpne søket igjen før muligheten til å hente ut overskuddsinformasjon er fjernet, forteller Irgens.

– Teknikken som brukes er enkel nok, det er ikke vanskelig å sette opp en proxy som avleser trafikk mellom appen og tjenesteleverandøren, derfor er det også viktig at det ikke finnes slik overskuddsinformasjon i denne trafikken, understreker han.

Fulgte ikke god nok med

Som nevnt har ikke Tryg forsikring svart på henvendelsene Solberg har sendt til den epostadressen som er oppgitt av Tryg forsikring i appbutikkene.

– Vi har ikke overvåket epostadressen som er oppgitt i Google Play og Apples App Store på en god nok måte, og det er årsaken til at bloggeren ikke har fått svar. Det må vi bare beklage, sier Irgens.

– Vi synes det er bra at vi er gjort oppmerksom på dette, men det er selvsagt svært beklagelig at appen har vært konstruert slik at det har vært mulig å hente ut denne informasjonen, avslutter han.

Også Evry, som står bak Infotorg, tar noe selvkritikk i denne saken.

Det er riktig at vi ble gjort oppmerksom på svakheter i kundens løsning, og det ble gjort undersøkelser på Evry sin side. Det ble ikke avdekket sikkerhetsbrudd i våre tjenesteleveranser. Vi kan imidlertid konstatere at når vi ble gjort oppmerksom på dette så kunne vi avstemt tidligere med kunden. Derfor vil vi nå gå igjennom rutiner for å se på konkrete forbedringer på dette området, skriver kommunikasjonsdirektør Geir Remman i en epost til digi.no.

Dataeieren

Tilgangen til tjenesten som Infotorg tilbyr, forutsetter at kunden har tillatelse fra dataeier, som altså er Statens vegvesen. 

Digi.no har bedt etaten om en kommentar til denne saken. 

– Vi i Statens vegvesen forholder oss til gjeldende lover (Offentleglova og Personopplysningsloven) når vi utleverer data. Hvordan disse dataene blir benyttet av Tryg/Infotorg (og andre aktører) videre, må de svare for, skriver seksjonssjef Heidi Øwre, i en epost til digi.no.

– Som en stor offisiell dataforvalter er vi opptatt av personvern og følger dagens utvikling med et stadig mer digitalt og åpent samfunn med interesse og noterer oss saken, avslutter Øwre.

Kommentarer (10)

Kommentarer (10)
Til toppen