Avis: IBM-medarbejder er Se & Hørs ulovlige kilde

Det var en systemspecialist hos Nets-leverandøren IBM, som ulovligt lækkede dybt fortrolige betalingsdata til Se & Hør, skriver BT.

Skandalen om overvågningen af kendte og kongeliges betalingstransaktioner omfatter nu endnu et it-firma, for det var ikke en Nets-ansat, men en medarbejder hos IBM, som ulovligt solgte fortrolige data til ugebladet Se & Hør.

Læs også: Nets undersøger sag om medarbejder der har solgt data om kongeliges betalinger

Det skriver BT, som i første omgang bragte historien om, hvordan Se & Hør-journalister fik besked om kendissers brug af betalingskort i Danmark og i udlandet.

Kilden hos IBM skal angiveligt findes blandt de 71 systemspecialister, som i 2007 blev flyttet fra Nets – der dengang hed PBS – til IBM. Det skete, da IBM overtog hele opgaven med at drive mainframe-systemerne for Nets.

Den IBM-ansatte, der modtog løbende sort betaling fra Se & Hør, sendte typisk 2 til 4 sms'er med flere tips i hver om dagen. Det skete tilsyneladende som en automatisk overvågning, hvor kilden fik besked, når en af de kendte og kongelige på listen fra Se & Hør brugte sit betalingskort.

Skulle der tilføjes et nyt navn på listen, kunne det kun ske på bestemte tidspunkter, hvor it-systemerne var 'åbne'.

BT har fået navnet på den person, som ifølge BT's kilder lækkede de hemmelige oplysninger, og har kontaktet vedkommende, som ikke ønsker at udtale sig.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (38)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

I det hele tiden var det dumt at stikke snuden i data man ikke har nogle rettigheder til.
Men at sætte automatisk overvågning op fordi man tilmed er doven?

Det er da bare ualmindeligt dumt. Når du forsøger at efterlade mindst muligt antal spor, så ønsker du da slet ikke at have et eller andet script / opsætning som tydeligt kan findes og derefter spores videre.

  • 3
  • 4
Thomas Larsen

Det relevante spørgsmål til det offentlige og til NETS er "Hvad gør NETS for at sikre at det ikke kan ske igen?" Gerne fulgt op af spørgsmålet "Hvornår kan almindelige borgere få adgang til en oversigt over hvilke NETS-medarbejdere der har snaget i deres data".

Når du forsøger at efterlade mindst muligt antal spor, så ønsker du da slet ikke at have et eller andet script / opsætning som tydeligt kan findes og derefter spores videre.

Øh du stirrer dig fuldstændigt blind på ligegyldige tekniske detaljer eller også er du ironisk og harcellerer over at IBM / NETS ikke har opdaget det automatiske script.

Fejlen som manden begik var at give sin identitet til kende over for en større gruppe labile Se&Hør-medarbejdere og ligefrem skilte med sin relation til disse gennem facebook.

  • 18
  • 1
Jakob Sørensen

Nu bør man nok lige vente til nogen er dømt, før man korsfæster dem. BT er jo ikke ligefrem Danmarks øverste retsinstans.

Når det er sagt, så er de fleste nok enige om at det er noget der kunne ske (uanset om det er sket eller ej). Og det viser måske meget godt, at det menneskelige element er det svageste led i den kæder vi kalder IT sikkerhed.

  • 15
  • 1
Thomas Ehler

Så nu kan det offentlige sige "Vi har fuld tiltro til Nets, der ikke har gjort noget forkert"..

Lige som Helle kan, fordi NSA ikke direkte har skrevet til hende, at de har installeret ulovlige sniffere i datacentre i hele Europa... (nå nej de er ikke ulovlige hvis snifferne i Danmark IKKE samler info om danskere... Det gør de tyske og svenske sniffere så til gengæld)

Fantastisk

  • 7
  • 0
Per Lund Hansen

Underligt så mange der mener, at den fejl der er begået, består i at han/hun ikke har gjort noget for at skjule sin identitet.
Det er ikke en fejl..... det er dumhed.
Fejlen er jo, at idioten har begået indbrud i fortroligt materiale, og solgt det videre.
Fejler er også, at Se og Hør har købt materialet.

  • 13
  • 1
Thomas Larsen

Underligt så mange der mener, at den fejl der er begået, består i at han/hun ikke har gjort noget for at skjule sin identitet.
Det er ikke en fejl..... det er dumhed.
Fejlen er jo, at idioten har begået indbrud i fortroligt materiale, og solgt det videre.
Fejler er også, at Se og Hør har købt materialet.


En fejl er når man udfører en handling der ikke opfylder målet med handlingen eller har utilsigtede konsekvenser.

Hvis man er "dum" har man en tilbøjelighed til at begå flere fejl fordi man i mindre grad kan gennemskue de fulde konsekvenser af sine handlinger.

Det er ikke en "fejl" at manden har "begået indbrud i fortroligt materiale". Det er tværtimod en bevidst handling der har til formål at opfylde hans mål om at tjene penge og som levede op til formålet.

Se og Hør har også haft et mål om at skrive "gode historier", "sælge blade" og "tjene penge". Det var derfor ikke en fejl at de købte materialet ud fra disse mål.

At respektere borgernes privatliv har aldrig været et mål for hverken manden der solgte oplysningerne eller bladet der offentliggjorde dem.

Det er derfor forkert at påstå at deres handlinger var fejlagtige.

I forhold til mandens mål om at forblide uopdaget var det en fejl at han afslørede sin identitet over for en flok labile Se og Hør-medarbejdere og tilmed skiltede med det på facebook.

  • 9
  • 1
Theis Blickfeldt

Jette, hvilken effekt tror du det har på vores pressesystem, hvis medierne ikke længere må beskytte deres kilder? Så er der INGEN som fremadrettet vil lægge navn til, at fortælle om ulovligheder de har observeret. Hvilket bare vil resulterer i en højere korruptionshyppighed i Danmark.
BT er formidlere af nyheder. Ikke politi. Så hvad med, at vi lader være med, at give dem ansvar som om de var...

  • 20
  • 2
Thomas Larsen

Jette, hvilken effekt tror du det har på vores pressesystem, hvis medierne ikke længere må beskytte deres kilder? Så er der INGEN som fremadrettet vil lægge navn til, at fortælle om ulovligheder de har observeret. Hvilket bare vil resulterer i en højere korruptionshyppighed i Danmark.
BT er formidlere af nyheder. Ikke politi. Så hvad med, at vi lader være med, at give dem ansvar som om de var...


Du overser i din tirade fuldstændig at manden ikke er kilde til noget som helst i forhold til BT og ikke har krav på nogen form for kildebeskyttelse.

Du overser også fuldstændigt muligheden for at Jette mente at BT har pligt til at bidrage til politiets efterforskning i det omfang at det ikke går ud over kildebeskyttelsen.

  • 4
  • 6
Peter Vangsgaard

Jeg håber det for konsvenser for den systemansvarlige som har lækket oplysningerne og dem som har købt oplysningerne, køber har et ansvar for at medarbejderen har fortsat sin kriminalitet ved at give ham penge. De burde i stedet havde anmeldt ham da han tilbød sine tjenester. Ja man bør nok åbne op for anononyme kreditkort så dem der har behov for at føle sig ekstra sikre også kan beskytte sig. Fængselsstraf for køber og sælger af disse oplysninger syntes jeg er nødvendig for at vise andre som har samme tanker at det ikke kan betale sig i danmark at handle med stjålne data.

  • 9
  • 0
Povl H. Pedersen

Jeg kan forestille mig, at funktionaliteten har været der. Et antal overvågningslister med kortnumre, som sender besked når kortet bruges. Det er lige noget for SKAT, Politi, efterretningstjeneste etc. Han har vel bare haft en ekstra liste, evt en test-liste i prod, som har sendt beskeder til en given e-mail adresse. Kan fint forestille mig man kan bruge alm. Internet e-mail adresser, og ingen kryptering, da datatilsynet ikke har krav om det (Det er for svært for Hr & Fru Jensen). Det er kun PCI der har sådanne krav.

SÅ almindelig audit ville muligvis ikke fange det, specielt ikke hvis der er mange observationslister at gemme sig blandt.

PS: Jeg kender ikke systemet, men jeg antager at observationslisterne er implementeret, og bruges af både myndigheder, og måske banker (de får måske ikke de direkte posteringer i real-time) til real-time overvågning.

  • 7
  • 0
Jesper Nielsen

Sorry Carsten - men det retfærdiggør på ingen måde at manden laver en kriminel handling. Manden kan jo bare finde et andet job i stedet.

Næ, men er det ikke det man risikerer hvis men tromler mennesker ned. Jeg siger ikke at der er rigtigt at begå kriminalitet, men måske er det et udtryk for afmagt. Jeg tror at det er meget menneskeligt at reagerer irrationelt hvis man føler sig trådt på. Det er jo set før i andre brancher, stiladsarbejdere der piller andres stiladser ned, ulovlige blokader osv.

Jeg mener at man i design af kritiske systemer som udgangspunkt skal antage at mennesket er upålidelig, så der f.eks. ikke er en privat virksomhed der og kontrollerer nøglen til hele vores tvungne digitale samspil med det offentlige.

  • 4
  • 1
Ib Erik Söderblom

Fra såvel BT, som medarbejderen, med fingrene i data'ene.
Hvem siger, at BT er de eneste ?

Det er beskæmmende, at grådigheden hos mennesker kan være så stor, at det blokerer for enhver form for anstændighed og enhver evne til, at kunne overskue de mulige konsekvenser af sine handlinger.
Skræmmende uintelligente mennesker på begge sider !

  • 0
  • 0
Christian Nobel

Det er beskæmmende, at grådigheden hos mennesker kan være så stor, at det blokerer for enhver form for anstændighed og enhver evne til, at kunne overskue de mulige konsekvenser af sine handlinger.
Skræmmende uintelligente mennesker på begge sider !

Jeg synes sådan set det er mere skræmmende at man overlader varetægten af alle danskeres internetsikkerhed og identitet til et (to) firma med en så ringe sikkerhedskultur at det overhovedet kan ske.

Endvidere synes jeg at det er endnu mere skræmmende at fokus primært er på Se&Hør (hvem kan tage dem seriøst?), samt en enkelt medarbejder, i stedet for at politiet allerede nu burde være i gang med at ransage Nets, og arbejdede sig ind mod sagens reelle problem.

  • 10
  • 0
Finn Aarup Nielsen

Shehzad Ahmad udtaler til Politiken http://politiken.dk/indland/ECE2274599/it-sikkerhedsekspert-noget-maa-va...

Der er ingen tvivl om at der gået noget galt i sikkerhedsprocedurerne her. Med mindre, der gør sig nogle helt særlige forhold gældende, så burde IBM overhovedet ikke kunne se de data.
...
Når man outsourcer til en ekstern part, så er det utroligt vigtigt at sikre, at de har de rettigheder, der skal til, og ikke mere. Det er helt afgørende at skelne mellem dem, der ejer data og dem, der vedligeholder dem.

Jeg er ikke bekendt med hverken almindelig outsourcing eller IBM's mainframe operativsystem, men på en Unix computer vil root da have adgang til alt (med mindre man har en speciel kryptering), også f.eks. /var/lib/mysql. Vil en outsourcing ikke normalt betyde at serviceleverandøren har root-lignende adgang?

  • 1
  • 0
Thomas Larsen

Jeg er ikke bekendt med hverken almindelig outsourcing eller IBM's mainframe operativsystem, men på en Unix computer vil root da have adgang til alt (med mindre man har en speciel kryptering), også f.eks. /var/lib/mysql. Vil en outsourcing ikke normalt betyde at serviceleverandøren har root-lignende adgang?


Det er (forhåbentlig) kun i akademiske miljøer at sysadmin har root-adgang til computerne.

Ude i erhvervslivet bruger man bl.a. COBIT til at formalisere processen omkring etablering og overvågning af checks & balances i forhold til at regulere adgangskontrol til kritiske systemressourcer.

Større aktieselskaber og børsnoterede virksomheder har deciderede afdelinger til at stå for sikkerhed og adgangskontrol.

http://www.techrepublic.com/blog/it-security/cobit-5-for-information-sec...

  • 0
  • 0
Martin Wolsing

Frem med navnet, eller en tur bag tremmer til ansvarshavende på BT.

Ud fra avisernes oplysninger er det ret enkelt at Google sig til vedkommende. Der er et helt centralt citat taget fra mandens CV, der gør det nemt.

Dette ikke for atsløre ham, da han jo er uskyldig indtil andet er bevist, men for at påpege at aviserne overhovedet ikke er deres opgave voksen, når de skal beskytte er persons identitet. Selv ganske få personlige oplysninger kombineret med et sløret billede, kan via Google nemt bruges til at finde vedkommende i dag hvor folk deler alt med alle.

  • 7
  • 0
Tine Andersen

Der var fx ham der CIA-direktøren, der solgte ud af data i posevis, for penge. Selv sin gode ven forrådte han, endda to gange. Så intet nyt under solen her. Se mere her: http://en.wikipedia.org/wiki/Aldrich_Ames

Nu er det åbenbart bare de mere utiltalende aviser og blade, der punger ud (De må tjene godt!). Se også på skandalen om tlf-aflytning i England.

Det er uappettiteligt, men den slags sker. Snowden er en helt- men?! Han afleverede jo også data, han ikke burde have udleveret (i en idéel verden).

Mvh
Tine- var det kun i "gamle dage" kongelige ikke havde betalingsmidler på sig..?

  • 0
  • 0
Christian Nobel

Der var fx ham der CIA-direktøren, der solgte ud af data i posevis, for penge. Selv sin gode ven forrådte han, endda to gange. Så intet nyt under solen her. Se mere her: http://en.wikipedia.org/wiki/Aldrich_Ames

Nu kan man nok næppe bruge CIA som troværdighedsvidne overhovedet - selv navnet er en vittighed i sig selv, da stedet er totalt blottet for selv den mindste form for intelligens.

CIA er intet andet end en paramilitær gang røvere og soldater, det aldrig skulle have haft lov til at ske.
Det kan anbefales at læse Tim Weiners: Fra den kolde krig, til krigen mod terror - hvis ikke det var fordi det er dybt tragisk, så ville det faktisk være underholdende.

  • 1
  • 2
Hans Schou

Det gode spørgsmål er så om vi får lov at bruge anonyme kreditkort


Det sidste jeg mindes politikerne tale om i den henseende, var at kontanter skulle være forbudt, ud fra devisen: Alle der betaler kontant, har noget at skjule. Der er åbenbart nogle (kriminelle) kendte der har noget at skjule. Det er lidt ærgerligt at det ikke er tilladt overvåge politikere der er imod kontanter, på den måde.

  • 3
  • 0
Ole Sanvig

Du overser i din tirade fuldstændig at manden ikke er kilde til noget som helst i forhold til BT og ikke har krav på nogen form for kildebeskyttelse.

Du overser også fuldstændigt muligheden for at Jette mente at BT har pligt til at bidrage til politiets efterforskning i det omfang at det ikke går ud over kildebeskyttelsen.

Derfor er der jo stadig ingen grund til at trykke hans navn, hverken på internettene eller på døde træer, før han rent faktisk er dømt for forbrydelsen. Og hvem siger, at BT ikke har givet navnet til politiet; han er, som du selv skriver, ikke kilde til noget som helst i BT.

For så vidt anonyme betalingskort: Hvor anonyme er de i virkeligheden, medmindre man tænker sig virkelig, virkelig godt om? Betalingerne vil kunne spores, hvis de er foretaget på nettet. Kører man oplysninger om, hvor og hvornår kortet er brugt sammen med data fra mobilmaster, så vil man givetvis ret hurtigt kunne finde et mønster, der afslører brugeren. Billeder fra overvågningskameraer kan findes til at spore brugeren af kortet. Etc. etc. etc. Det kræver en indsats fra nogens side at finde brugeren, men hvor stor er den egentlig?

Ikke dermed sagt, at anonyme kort er en dårlig ting, bare at man nok ikke skal vædde hele butikken på det, hvis man virkelig vil være anonym.

  • 5
  • 0
Mogens Lysemose

Vi spoler lige halvanden måned tilbage og genlæser de skråsikre politikeres udmeldinger om at der skam fuldt ud er styr på alle Nets personfølsomme data ;-)

"Lige præcis omkring Nets og personfølsomme oplysninger og vores dankort- og kreditkorttransaktioner har vi endda en ekstra skærpet lovgivning, så jeg har ingen grund til at tro, at der skulle være nogen problemer."

Erhvervs- og vækstministeren understreger desuden, at der er absolut ingen beviser eller tegn på, at amerikanske firmaer, der opererer i Danmark ikke overholder dansk datalovgivning.

http://politiken.dk/indland/politik/ECE2211070/sass-ryster-paa-hovedet-a...

Benny Engelbrecht understreger, at der allerede nu bliver holdt skarpt øje med Nets' behandling af de følsomme data, og at tilsynet er ved at blive yderligere skærpet:
(...)
»Derfor har man med rettidig omhu sikret sig, at der er tilstrækkeligt tilsyn med datasikkerheden generelt«, siger han.

http://politiken.dk/indland/politik/ECE2210834/s-ordfoerer-om-nets-salg-...
;-)

  • 6
  • 0
Shawn Blue

Der vil altid være dygtige folk, som kan skaffe sig adgang. Så min eneste sikkerhed er, at der er så mange oplysninger i omløb, at mine (uinteressante)data forhåbentlig bliver væk i mængden.
Hvordan kan man tro, at kryptering og dobbelt verifikation kan løse noget som helst? Måske at din konto ikke stjæles - men dine data er aldrig sikre. Dydens smalle sti er vejen frem. Og så er alle vel glade?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Skandalen om overvågningen af kendte og kongeliges betalingstransaktioner omfatter nu endnu et it-firma, for det var ikke en Nets-ansat, men en medarbejder hos IBM, som ulovligt solgte fortrolige data til ugebladet Se & Hør. Læs også: Nets undersøger sag om medarbejder der har solgt data om kongeliges
betalinger Det skriver BT, som i første omgang bragte historien om, hvordan Se & Hør-journalister fik besked om kendissers brug af betalingskort i Danmark og i udlandet. Kilden hos IBM skal angiveligt findes blandt de 71 systemspecialister, som i 2007 blev flyttet fra Nets – der dengang hed PBS – til IBM. Det skete, da IBM overtog hele opgaven med at drive mainframe-systemerne for Nets. ...