Skandalen om overvågningen af kendte og kongeliges betalingstransaktioner omfatter nu endnu et it-firma, for det var ikke en Nets-ansat, men en medarbejder hos IBM, som ulovligt solgte fortrolige data til ugebladet Se & Hør.
Det skriver BT, som i første omgang bragte historien om, hvordan Se & Hør-journalister fik besked om kendissers brug af betalingskort i Danmark og i udlandet.
Kilden hos IBM skal angiveligt findes blandt de 71 systemspecialister, som i 2007 blev flyttet fra Nets – der dengang hed PBS – til IBM. Det skete, da IBM overtog hele opgaven med at drive mainframe-systemerne for Nets.
Den IBM-ansatte, der modtog løbende sort betaling fra Se & Hør, sendte typisk 2 til 4 sms'er med flere tips i hver om dagen. Det skete tilsyneladende som en automatisk overvågning, hvor kilden fik besked, når en af de kendte og kongelige på listen fra Se & Hør brugte sit betalingskort.
Skulle der tilføjes et nyt navn på listen, kunne det kun ske på bestemte tidspunkter, hvor it-systemerne var 'åbne'.
BT har fået navnet på den person, som ifølge BT's kilder lækkede de hemmelige oplysninger, og har kontaktet vedkommende, som ikke ønsker at udtale sig.
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Der vil altid være dygtige folk, som kan skaffe sig adgang. Så min eneste sikkerhed er, at der er så mange oplysninger i omløb, at mine (uinteressante)data forhåbentlig bliver væk i mængden. Hvordan kan man tro, at kryptering og dobbelt verifikation kan løse noget som helst? Måske at din konto ikke stjæles - men dine data er aldrig sikre. Dydens smalle sti er vejen frem. Og så er alle vel glade?
- more_vert
- insert_linkKopier link
man kan vel kryptere alt det man vil af sikkerheds mæssige årsager, men det hjælper vel ikke noge hvis der som i tilfældet her sidder en "kriminel" insidder og lækker oplysninger til en eller flere uden for
- more_vert
- insert_linkKopier link
Vi spoler lige halvanden måned tilbage og genlæser de skråsikre politikeres udmeldinger om at der skam fuldt ud er styr på alle Nets personfølsomme data ;-)
"Lige præcis omkring Nets og personfølsomme oplysninger og vores dankort- og kreditkorttransaktioner har vi endda en ekstra skærpet lovgivning, så jeg har ingen grund til at tro, at der skulle være nogen problemer."
Erhvervs- og vækstministeren understreger desuden, at der er absolut ingen beviser eller tegn på, at amerikanske firmaer, der opererer i Danmark ikke overholder dansk datalovgivning.
Benny Engelbrecht understreger, at der allerede nu bliver holdt skarpt øje med Nets' behandling af de følsomme data, og at tilsynet er ved at blive yderligere skærpet: (...) »Derfor har man med rettidig omhu sikret sig, at der er tilstrækkeligt tilsyn med datasikkerheden generelt«, siger han.
- more_vert
- insert_linkKopier link
Ryger IBM medarbejderen, så i isolationsfængsel?
- more_vert
- insert_linkKopier link
Der var fx ham der CIA-direktøren, der solgte ud af data i posevis, for penge. Selv sin gode ven forrådte han, endda to gange. Så intet nyt under solen her. Se mere her: http://en.wikipedia.org/wiki/Aldrich_Ames
Nu er det åbenbart bare de mere utiltalende aviser og blade, der punger ud (De må tjene godt!). Se også på skandalen om tlf-aflytning i England.
Det er uappettiteligt, men den slags sker. Snowden er en helt- men?! Han afleverede jo også data, han ikke burde have udleveret (i en idéel verden).
Mvh Tine- var det kun i "gamle dage" kongelige ikke havde betalingsmidler på sig..?
- more_vert
- insert_linkKopier link
Nu kan man nok næppe bruge CIA som troværdighedsvidne overhovedet - selv navnet er en vittighed i sig selv, da stedet er totalt blottet for selv den mindste form for intelligens.Der var fx ham der CIA-direktøren, der solgte ud af data i posevis, for penge. Selv sin gode ven forrådte han, endda to gange. Så intet nyt under solen her. Se mere her: <a href="http://en.wikipedia.org/wiki/Aldrich_Ames">http://en.wikipedia.org/wiki…;
CIA er intet andet end en paramilitær gang røvere og soldater, det aldrig skulle have haft lov til at ske. Det kan anbefales at læse Tim Weiners: Fra den kolde krig, til krigen mod terror - hvis ikke det var fordi det er dybt tragisk, så ville det faktisk være underholdende.
- more_vert
- insert_linkKopier link
Shehzad Ahmad udtaler til Politiken http://politiken.dk/indland/ECE2274599/it-sikkerhedsekspert-noget-maa-vaere-gaaet-helt-galt-hos-nets/
Der er ingen tvivl om at der gået noget galt i sikkerhedsprocedurerne her. Med mindre, der gør sig nogle helt særlige forhold gældende, så burde IBM overhovedet ikke kunne se de data.
...
Når man outsourcer til en ekstern part, så er det utroligt vigtigt at sikre, at de har de rettigheder, der skal til, og ikke mere. Det er helt afgørende at skelne mellem dem, der ejer data og dem, der vedligeholder dem.
Jeg er ikke bekendt med hverken almindelig outsourcing eller IBM's mainframe operativsystem, men på en Unix computer vil root da have adgang til alt (med mindre man har en speciel kryptering), også f.eks. /var/lib/mysql. Vil en outsourcing ikke normalt betyde at serviceleverandøren har root-lignende adgang?
- more_vert
- insert_linkKopier link
Det er (forhåbentlig) kun i akademiske miljøer at sysadmin har root-adgang til computerne.Jeg er ikke bekendt med hverken almindelig outsourcing eller IBM's mainframe operativsystem, men på en Unix computer vil root da have adgang til alt (med mindre man har en speciel kryptering), også f.eks. /var/lib/mysql. Vil en outsourcing ikke normalt betyde at serviceleverandøren har root-lignende adgang?
Ude i erhvervslivet bruger man bl.a. COBIT til at formalisere processen omkring etablering og overvågning af checks & balances i forhold til at regulere adgangskontrol til kritiske systemressourcer.
Større aktieselskaber og børsnoterede virksomheder har deciderede afdelinger til at stå for sikkerhed og adgangskontrol.
- more_vert
- insert_linkKopier link
Fra såvel BT, som medarbejderen, med fingrene i data'ene. Hvem siger, at BT er de eneste ?
Det er beskæmmende, at grådigheden hos mennesker kan være så stor, at det blokerer for enhver form for anstændighed og enhver evne til, at kunne overskue de mulige konsekvenser af sine handlinger. Skræmmende uintelligente mennesker på begge sider !
- more_vert
- insert_linkKopier link
Jeg synes sådan set det er mere skræmmende at man overlader varetægten af alle danskeres internetsikkerhed og identitet til et (to) firma med en så ringe sikkerhedskultur at det overhovedet kan ske.Det er beskæmmende, at grådigheden hos mennesker kan være så stor, at det blokerer for enhver form for anstændighed og enhver evne til, at kunne overskue de mulige konsekvenser af sine handlinger.
Skræmmende uintelligente mennesker på begge sider !
Endvidere synes jeg at det er endnu mere skræmmende at fokus primært er på Se&Hør (hvem kan tage dem seriøst?), samt en enkelt medarbejder, i stedet for at politiet allerede nu burde være i gang med at ransage Nets, og arbejdede sig ind mod sagens reelle problem.
- more_vert
- insert_linkKopier link
Sjovt som det IBMs skyld, det i sidste ende Nets der har ansvaret for deres systemer også selv om de har outsources.
- more_vert
- insert_linkKopier link
Jeg kan forestille mig, at funktionaliteten har været der. Et antal overvågningslister med kortnumre, som sender besked når kortet bruges. Det er lige noget for SKAT, Politi, efterretningstjeneste etc. Han har vel bare haft en ekstra liste, evt en test-liste i prod, som har sendt beskeder til en given e-mail adresse. Kan fint forestille mig man kan bruge alm. Internet e-mail adresser, og ingen kryptering, da datatilsynet ikke har krav om det (Det er for svært for Hr & Fru Jensen). Det er kun PCI der har sådanne krav.
SÅ almindelig audit ville muligvis ikke fange det, specielt ikke hvis der er mange observationslister at gemme sig blandt.
PS: Jeg kender ikke systemet, men jeg antager at observationslisterne er implementeret, og bruges af både myndigheder, og måske banker (de får måske ikke de direkte posteringer i real-time) til real-time overvågning.
- more_vert
- insert_linkKopier link
det er jo hvad man risikere at få ud af at tvangs forflytte en medarbejder til en afdeling hvor vedkommende måske ikkek har lyst til at flyttes til i en fusions situation...
- more_vert
- insert_linkKopier link
Sorry Carsten - men det retfærdiggør på ingen måde at manden laver en kriminel handling. Manden kan jo bare finde et andet job i stedet.
- more_vert
- insert_linkKopier link
det har jeg egenligt heller ikke sagt at det gør
jeg påpeger bare at der er den risiko, og at det er set adskillige gange før
- more_vert
- insert_linkKopier link
Sorry Carsten - men det retfærdiggør på ingen måde at manden laver en kriminel handling. Manden kan jo bare finde et andet job i stedet.
Næ, men er det ikke det man risikerer hvis men tromler mennesker ned. Jeg siger ikke at der er rigtigt at begå kriminalitet, men måske er det et udtryk for afmagt. Jeg tror at det er meget menneskeligt at reagerer irrationelt hvis man føler sig trådt på. Det er jo set før i andre brancher, stiladsarbejdere der piller andres stiladser ned, ulovlige blokader osv.
Jeg mener at man i design af kritiske systemer som udgangspunkt skal antage at mennesket er upålidelig, så der f.eks. ikke er en privat virksomhed der og kontrollerer nøglen til hele vores tvungne digitale samspil med det offentlige.
- more_vert
- insert_linkKopier link
Jeg håber det for konsvenser for den systemansvarlige som har lækket oplysningerne og dem som har købt oplysningerne, køber har et ansvar for at medarbejderen har fortsat sin kriminalitet ved at give ham penge. De burde i stedet havde anmeldt ham da han tilbød sine tjenester. Ja man bør nok åbne op for anononyme kreditkort så dem der har behov for at føle sig ekstra sikre også kan beskytte sig. Fængselsstraf for køber og sælger af disse oplysninger syntes jeg er nødvendig for at vise andre som har samme tanker at det ikke kan betale sig i danmark at handle med stjålne data.
- more_vert
- insert_linkKopier link
Jeg er mest forundret over at Nets Internal System Audit ikke har fundet snifferen. Jeg er også forundret over at Finanstilsynet ikke har passet deres arbejde. De skal jo sikre at §117 i lov om finansiel virksomhed er overholdt.
- more_vert
- insert_linkKopier link
Det er jo, hvad der må ske, mennesker er mennesker og penge er penge. Og supervision bliver kun udviklet på områder, hvor det har vist sig nødvendigt.
- more_vert
- insert_linkKopier link
"BT har fået navnet på den person, som ifølge BT's kilder lækkede de hemmelige oplysninger, og har kontaktet vedkommende, som ikke ønsker at udtale sig." Frem med navnet, eller en tur bag tremmer til ansvarshavende på BT.
- more_vert
- insert_linkKopier link
Frem med navnet, eller en tur bag tremmer til ansvarshavende på BT.
Ud fra avisernes oplysninger er det ret enkelt at Google sig til vedkommende. Der er et helt centralt citat taget fra mandens CV, der gør det nemt.
Dette ikke for atsløre ham, da han jo er uskyldig indtil andet er bevist, men for at påpege at aviserne overhovedet ikke er deres opgave voksen, når de skal beskytte er persons identitet. Selv ganske få personlige oplysninger kombineret med et sløret billede, kan via Google nemt bruges til at finde vedkommende i dag hvor folk deler alt med alle.
- more_vert
- insert_linkKopier link
Politiet mangler tilsyneladende Google-træning:
"Alle medierne ved åbenbart, hvem der skulle stå bag, men det kan vi ikke få at vide"
http://www.dr.dk/Nyheder/Kultur/Medier/2014/04/29/184430.htm
- more_vert
- insert_linkKopier link
Jette, hvilken effekt tror du det har på vores pressesystem, hvis medierne ikke længere må beskytte deres kilder? Så er der INGEN som fremadrettet vil lægge navn til, at fortælle om ulovligheder de har observeret. Hvilket bare vil resulterer i en højere korruptionshyppighed i Danmark. BT er formidlere af nyheder. Ikke politi. Så hvad med, at vi lader være med, at give dem ansvar som om de var...
- more_vert
- insert_linkKopier link
Du overser i din tirade fuldstændig at manden ikke er kilde til noget som helst i forhold til BT og ikke har krav på nogen form for kildebeskyttelse.Jette, hvilken effekt tror du det har på vores pressesystem, hvis medierne ikke længere må beskytte deres kilder? Så er der INGEN som fremadrettet vil lægge navn til, at fortælle om ulovligheder de har observeret. Hvilket bare vil resulterer i en højere korruptionshyppighed i Danmark.
BT er formidlere af nyheder. Ikke politi. Så hvad med, at vi lader være med, at give dem ansvar som om de var...
Du overser også fuldstændigt muligheden for at Jette mente at BT har pligt til at bidrage til politiets efterforskning i det omfang at det ikke går ud over kildebeskyttelsen.
- more_vert
- insert_linkKopier link
Du overser i din tirade fuldstændig at manden ikke er kilde til noget som helst i forhold til BT og ikke har krav på nogen form for kildebeskyttelse.</p>
<p>Du overser også fuldstændigt muligheden for at Jette mente at BT har pligt til at bidrage til politiets efterforskning i det omfang at det ikke går ud over kildebeskyttelsen.
Derfor er der jo stadig ingen grund til at trykke hans navn, hverken på internettene eller på døde træer, før han rent faktisk er dømt for forbrydelsen. Og hvem siger, at BT ikke har givet navnet til politiet; han er, som du selv skriver, ikke kilde til noget som helst i BT.
For så vidt anonyme betalingskort: Hvor anonyme er de i virkeligheden, medmindre man tænker sig virkelig, virkelig godt om? Betalingerne vil kunne spores, hvis de er foretaget på nettet. Kører man oplysninger om, hvor og hvornår kortet er brugt sammen med data fra mobilmaster, så vil man givetvis ret hurtigt kunne finde et mønster, der afslører brugeren. Billeder fra overvågningskameraer kan findes til at spore brugeren af kortet. Etc. etc. etc. Det kræver en indsats fra nogens side at finde brugeren, men hvor stor er den egentlig?
Ikke dermed sagt, at anonyme kort er en dårlig ting, bare at man nok ikke skal vædde hele butikken på det, hvis man virkelig vil være anonym.
- more_vert
- insert_linkKopier link
Frem med navnet, eller en tur bag tremmer til ansvarshavende på BT.
Hvorfor? Så folkedomstolen kan gå i gang med sin hetz? Vi er dog i Danmark for det meste uskyldige, indtil det modsatte er bevist. Uanset hvor meget vi gerne vil tro på de historier, vi læser i nyhederne.
- more_vert
- insert_linkKopier link
Underligt så mange der mener, at den fejl der er begået, består i at han/hun ikke har gjort noget for at skjule sin identitet. Det er ikke en fejl..... det er dumhed. Fejlen er jo, at idioten har begået indbrud i fortroligt materiale, og solgt det videre. Fejler er også, at Se og Hør har købt materialet.
- more_vert
- insert_linkKopier link
En fejl er når man udfører en handling der ikke opfylder målet med handlingen eller har utilsigtede konsekvenser.Underligt så mange der mener, at den fejl der er begået, består i at han/hun ikke har gjort noget for at skjule sin identitet.
Det er ikke en fejl..... det er dumhed.
Fejlen er jo, at idioten har begået indbrud i fortroligt materiale, og solgt det videre.
Fejler er også, at Se og Hør har købt materialet.
Hvis man er "dum" har man en tilbøjelighed til at begå flere fejl fordi man i mindre grad kan gennemskue de fulde konsekvenser af sine handlinger.
Det er ikke en "fejl" at manden har "begået indbrud i fortroligt materiale". Det er tværtimod en bevidst handling der har til formål at opfylde hans mål om at tjene penge og som levede op til formålet.
Se og Hør har også haft et mål om at skrive "gode historier", "sælge blade" og "tjene penge". Det var derfor ikke en fejl at de købte materialet ud fra disse mål.
At respektere borgernes privatliv har aldrig været et mål for hverken manden der solgte oplysningerne eller bladet der offentliggjorde dem.
Det er derfor forkert at påstå at deres handlinger var fejlagtige.
I forhold til mandens mål om at forblide uopdaget var det en fejl at han afslørede sin identitet over for en flok labile Se og Hør-medarbejdere og tilmed skiltede med det på facebook.
- more_vert
- insert_linkKopier link
Det gode spørgsmål er så om vi får lov at bruge anonyme kreditkort i Danmark efter denne skandale...
- more_vert
- insert_linkKopier link
Det sidste jeg mindes politikerne tale om i den henseende, var at kontanter skulle være forbudt, ud fra devisen: Alle der betaler kontant, har noget at skjule. Der er åbenbart nogle (kriminelle) kendte der har noget at skjule. Det er lidt ærgerligt at det ikke er tilladt overvåge politikere der er imod kontanter, på den måde.Det gode spørgsmål er så om vi får lov at bruge anonyme kreditkort
- more_vert
- insert_linkKopier link
Nu bør man nok lige vente til nogen er dømt, før man korsfæster dem. BT er jo ikke ligefrem Danmarks øverste retsinstans.
Når det er sagt, så er de fleste nok enige om at det er noget der kunne ske (uanset om det er sket eller ej). Og det viser måske meget godt, at det menneskelige element er det svageste led i den kæder vi kalder IT sikkerhed.
- more_vert
- insert_linkKopier link
Det relevante spørgsmål til det offentlige og til NETS er "Hvad gør NETS for at sikre at det ikke kan ske igen?" Gerne fulgt op af spørgsmålet "Hvornår kan almindelige borgere få adgang til en oversigt over hvilke NETS-medarbejdere der har snaget i deres data".
Øh du stirrer dig fuldstændigt blind på ligegyldige tekniske detaljer eller også er du ironisk og harcellerer over at IBM / NETS ikke har opdaget det automatiske script.Når du forsøger at efterlade mindst muligt antal spor, så ønsker du da slet ikke at have et eller andet script / opsætning som tydeligt kan findes og derefter spores videre.
Fejlen som manden begik var at give sin identitet til kende over for en større gruppe labile Se&Hør-medarbejdere og ligefrem skilte med sin relation til disse gennem facebook.
- more_vert
- insert_linkKopier link
Så nu kan det offentlige sige "Vi har fuld tiltro til Nets, der ikke har gjort noget forkert"..
K
- more_vert
- insert_linkKopier link
Så nu kan det offentlige sige "Vi har fuld tiltro til Nets, der ikke har gjort noget forkert"..
Lige som Helle kan, fordi NSA ikke direkte har skrevet til hende, at de har installeret ulovlige sniffere i datacentre i hele Europa... (nå nej de er ikke ulovlige hvis snifferne i Danmark IKKE samler info om danskere... Det gør de tyske og svenske sniffere så til gengæld)
Fantastisk
- more_vert
- insert_linkKopier link
I det hele tiden var det dumt at stikke snuden i data man ikke har nogle rettigheder til. Men at sætte automatisk overvågning op fordi man tilmed er doven?
Det er da bare ualmindeligt dumt. Når du forsøger at efterlade mindst muligt antal spor, så ønsker du da slet ikke at have et eller andet script / opsætning som tydeligt kan findes og derefter spores videre.
- more_vert
- insert_linkKopier link
Hvorfor dumt - det var jo ikke den automatiske overvågning, der afslørede ham. IBM og PBS/Nets opdagede ingenting. Han blev afsløret af sine "kunder".
- more_vert
- insert_linkKopier link
at sætte automatisk overvågning op fordi man tilmed er doven?
Grunden kunne jo være at forbryderen kunne tage sig bedre betalt for levering af oplysninger i sand tid.
- more_vert
- insert_linkKopier link