Sikkerhedsbrist hos betalingskæmpe: Fakturaer frit tilgængelige i 7 år

Betalingstjenesten DIBS beklager, at oplysninger fra fakturaer i hundredtusindvis siden 2006 har været tilgængelige for alle og enhver. Flere kunder er utrygge.

Betalingsløsningen DIBS har i syv år haft et problem med virksomhedens fakturaløsning. Siden lanceringen af løsningen i 2006 har det været muligt at tilgå andre virksomheders fakturaer til både private og virksomheder. Sammenlagt er der tale om flere hundrede tusinde fakturaer, der lå frit tilgængeligt på nettet.

Fakturasiden var over en krypteret forbindelse, men en lille ændring i en URL, lod internetbrugere se andre fakturaer. Her kunne man blandt andet se vare, pris, kundens mail, adresse, telefon og andre oplysninger om kunden. Eksempelvis kunne man se, at en navngiven kunde havde været på badeferie i Lalandia for 1.638 kroner, at en virksomhed havde købt 100 Täno-stole og 27 Täno-borde fra Ikea til 12.768 kroner, og at flere navngivne medarbejdere i Danmarks Statistik havde modtaget massage.

Læs også: Forbrugerrådet: Faktura-fadæse bør få konsekvenser for DIBS

I andre tilfælde kunne man se ændrede rejsedatoer, hvor både flynummer, rejsedato, lufthavn samt afgangs- og ankomsttidspunkter var specificeret. Og det er meget uheldigt, lyder det fra rejseselskabet Kilroy, der er en af de i alt 60 berørte virksomheder.

»Min første reaktion er, at det ikke lyder særlig rart og det lyder relativt alvorligt, uden at jeg kender til sagens sammenhæng i øvrigt, det er første gang, jeg hører om det,« siger Claus H. Hejlesen, direktør i Kilroy, til Version2.

Også i Ikea er man utilfreds med, at virksomhedens fakturaer lå til offentligt skue.

'Ikea synes selvfølgelig ikke, det er o.k., at alle kan gå ind og kigge i et fakturasystem, da der her er tale om et kundeforhold, der kun bør være mellem Ikea og kunden,' skriver Tina Würgau Lindharth, pr-ansvarlig i IKEA Danmark, i en mail til Version2.

Kunder: Foruroligende

Version2 har kontaktet flere af de kunder, hvis oplysninger lå frit tilgængeligt på nettet, fordi de havde handlet med en af de 60 virksomheder. En af de kunder, hvis faktura har været frit tilgængeligt på nettet er Philip Jarnhus. Her kan man se, at han har været på et ferieophold i en virksomhed, og at opholdet har kostet et bestemt beløb.

»Det gør mig ikke noget, at man kan se, at jeg har været på et ferieophold. Men mange af tingene bliver betalt forud, så dermed er der oplysninger forud om, at personen ikke er hjemme. Det er ikke rart, for det gør det let at begå identitetstyveri eller indbrud,« siger Philip Jarnhus til Version2.

Samme reaktion får Version2 fra Kurt Nielsen, der sammen med familien har været på et ophold i Lalandia, der benytter DIBS' faktureringstjeneste.

»Vi er nok lidt mistroiske i vores familie, men det er lidt foruroligende, at det ligger tilgængeligt på nettet. Det har jeg det ikke så godt med, for vores ferier er noget, vi passer for os selv. Hvis vi vil have, andre skal vide, at vi er på ferie, fortæller vi dem det. At det så ligger frit på nettet, er vi lidt utrygge ved,« siger Kurt Nielsen til Version2.

»Det er overraskende, at det ligger frit tilgængeligt. Det synes jeg ikke, det skal, og det irriterer mig, at sådan noget ikke er beskyttet bedre,« siger Gitte Jørgensen, der også har været i Lalandia.

DIBS: Vi beklager

Hvordan kan det ske?

»Det er en fejl,« siger Robert Stenholdt Mygind, teknisk direktør i DIBS, til Version2 og fortsætter:

»Det er vigtigt at pointere, at vi har systemer, der indgår i vores PCI-certificering, dvs. kode indgår i bl.a. codereview og sikkerhedstest. DIBS' e-mail ligger uden for PCI-scope, da det ikke indholder kortdata og andre følsomme data, så derfor undergik DIBS' e-mail ikke samme processer, da det blev udviklet i 2006. Men efterfølgende vedligeholdelse har været udført inde for samme procedure.«

Da Version2 kontakter DIBS om fejlen, har virksomheden ikke umiddelbart hørt om problemet før. Kort efter Version2 kontakter DIBS, lukkes tjenesten helt ned, så fakturaerne ikke kan tilgås.

»Vi har lukket produktet ned indtil videre. Det betyder, at vores kunder ikke kan foretage faktureringer, indtil vi har en løsning klar. Faktureringen er dog asynkron, så vi vurderer ikke, at virksomhederne vil miste kunder, fordi systemet er nede,« siger Robert Stenholt Mygind til Version2.

»Det er selvfølgelig meget uhensigtsmæssigt, at man kan se andre kunders kvitteringer. Det beklager vi meget. Det er ikke optimalt, at jeg kan se, hvad andre har handlet.«

DIBS understreger, at faktureringssytemet er helt separat fra den betalingsløsning, som virksomheden tilbyder bl.a. netbutikker.

»Systemet har intet med vores normale betalingsgateway at gøre, og derfor er der ingen risiko for, at man kan få fat i kortnumre eller andre følsomme oplysninger,« fastslår Robert Stenholt Mygind.

Læs også: Kæmpenedbrud i betalingssystemer kører på 3. døgn – kunder taber millioner

Fordi løsningen nu er offline, vil man altså ikke kunne se fakturaer fra de 60 berørte virksomheder.

»Kunder i de berørte virksomheder vil lige nu ikke kunne se deres kvitteringer. Men i og med det er et asynkront system, kan virksomhederne eksempelvis vælge at sende fakturaen en anden dag.«

DIBS' e-mail er et faktureringssystem, hvor virksomhederne kan sende fakturaen, når det passer dem. Det er altså ikke direkte afgørende for handlen i virksomheden, at der kan faktureres her og nu. Derfor vurderer DIBS ikke, at det, at tjenesten nu er offline, har den helt store betydning.

»Ud over, at løsningen er nede i nogle dage, fordi vi har taget produktet offline, kan jeg ikke se nogle konsekvenser for butikkerne. De kan køre deres betalinger efterfølgende,« vurderer Robert Stenholt Mygind.

Faktisk var DIBS i forvejen ved at trække stikket på løsningen, der altså har været i drift siden omkring 2006.

»DIBS' e-mail-systemet er under udfasning og skulle være udfaset 1. august. Den deadline har vi nu rykket, og systemet vil være udfaset inden udgangen af juni. Det kan ikke nytte noget, at vi bygger et nyt DIBS e-mail-produkt, der kun skal køre kortvarigt, så vi fokuserer på, at få rykket vores kunder over på den nye løsning,« slutter Robert Stenholt Mygind.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (31)
Peter Lind

I andre tilfælde kunne man se ændrede rejsedatoer, hvor både flynummer, rejsedato, lufthavn samt afgangs- og ankomsttidspunkter var specificeret.

Det lyder som opskriften på at finde personer, der ikke er hjemme i perioder - hvor man så som indbrudstyv nemt og belejligt kan kigge forbi.

Det er én ting hvis man selv offentliggør den slags på facebook eller lign. men DIBS har tilsyneladende valgt at offentliggøre det for folk (ud fra artiklen at dømme har det været et spørgsmål om at ændre et ID i URLen). Det er ikke i orden.

Peter Andersen

Burde der ikke være en kontant afklapsning i straffeloven ?

Det har absolut intet med "offentlig retsfølelse" at gøre hvis de kan slippe med "at beklage".

Mit forslag: 1 års ubetinget fængsel til direktøren.

Ministeren bør gå af, dronningen skal abdicere, EU skal tvangsopløses..

Ahh skal vi nu ikke liiiiige spise brød til.

Jeg har svært ved at se hvorfor direktøren skal fængsles i en relativt harmløs sag. Ja der har ligget fakturaer, ja det er rigtig skidt - men sæt lige tingene i perspektiv.

Poul-Henning Kamp Blogger

Det er måske lige på den hysteriske side.

Hvori består det hysteriske ?

Sammenlign med hvilken straf en "hacker" ville få hvis han havde brudt ind og kopieret disse faktura ud på det åbne internet ?

Hvis ikke IT-sikkerheds inkompetenace får konkrete ubehagelige følger for den administrerende direktør, vil IT-sikkerhed aldrig få nogen prioritet i hans ledelse.

Så jo, jeg synes faktisk at 12 måneders ubetinget fængsel ville være en passende straf.

Det kan man naturligvis ikke gøre i den foreliggende sag, for det hjemler loven ikke, men så må vi jo rette loven så den er klar næste gang.

Tro mig, hvis Direktøren For Det Hele har udsigt til at få Klaus Riskær som nabo i et års tid, så vil IT sikkerhed få den opmærksomhed og de resourcer det fortjener.

Carsten Helsted

Hvori består det hysteriske ?

Det består ved, at du har dømt en person efter en ikke eksisterende straffelov, til en tilfældig valgt straf, alene på baggrund af informationen i artiklen her.

Det er en kæmpe brøler og der skal måske være strafansvar osv. osv.

En hacker har som udgangspunkt en ond, eller i hvert fald, bevidst hensigt. Det tror jeg ikke direktøren har i dette tilfælde?

Hvis direktøren vidste der var et sikkerhedsproblem og ignorerede det, ja så kan jeg så småt følge dig. Jeg kan bare ikke læse det nogen steder?

Poul-Henning Kamp Blogger

En hacker har som udgangspunkt en ond, eller i hvert fald, bevidst hensigt. Det tror jeg ikke direktøren har i dette tilfælde?

Jo, det havde han helt sikkert, for det var hans job: Enhver krone han brugte på IT-sikkerhed kom fra hans overskud.

Hvis samfundet vil have fokus på IT-sikkerhed, så er det pinedød nødvendigt at gøre det til en prioritet i VL grupperne, vel at mærke en prioritet der rækker ud over en ærefuld omtale i skåltalerne.

Det må og skal være slut med "Vi er et firma, det er ikke vores ansvar"

Carsten Helsted

Jo, det havde han helt sikkert, for det var hans job: Enhver krone han brugte på IT-sikkerhed kom fra hans overskud.

Hvis samfundet vil have fokus på IT-sikkerhed, så er det pinedød nødvendigt at gøre det til en prioritet i VL grupperne, vel at mærke en prioritet der rækker ud over en ærefuld omtale i skåltalerne.

I følge den logik, da må bestyrelsen vidst også smides i håndjern?

Det må og skal være slut med "Vi er et firma, det er ikke vores ansvar"

Jeg ved ikke, hvad/hvor det citat kommer fra? Men jeg er helt sikkert enig i at firma'er skal vedstå deres ansvar. Jeg er til gengæld overhovedet ikke enig i det misforhold mellem overtrædelse og straf, som du ligger op til.

Kevin Johansen

klart! Derfor skal DU også straffes for de fejl der er i DIN kode, og testerne skal straffes fordi de IKKE har opdaget fejlen. Samme med arkitekten, fordi vedkommende ikke var dygtig nok til at udregne en sikker arkitektur.

Du har fint ret i efterspørgsel på fokus på sikkerhed, men når du argumenterer som en anden fanatiker, falder alle dine argumenter til jorden...

Poul-Henning Kamp Blogger

I følge den logik, da må bestyrelsen vidst også smides i håndjern?

Hvis direktøren kan henvise til at den IT-sikkerhedspolitik han førte var ham pålagt af bestyrelsen, er det naturligvis et gyldigt forsvar jvf. dansk lovgivning tilbage til Jyske (eller Danske ?) Lov.

Det er ikke et komplet, vandtæt forsvar, jvf. Nurembergprincippet, men det flytter en god del af skylde fra hans person til hans foresatte.

Poul-Henning Kamp Blogger

Klart! Derfor skal DU også straffes for de fejl der er i DIN kode, og testerne skal straffes fordi de IKKE har opdaget fejlen.

Der er forskel på at bestemme hvad sikkerhedsniveauet er og på at være inkompetent til at gennemføre det.

Men ja, Jeg mener faktisk at det bør være strafbart at være inkompetent med IT-sikkerhed, også for klaphattene i IT afdelingen.

Vi har authorissationsordninger for blikkenslagere, elektrikere og bygningsingeniører af præcis samme årsag, mens enhver idiot må linke imod OpenSSL.

Det burde der rettes op på.

Se også: http://queue.acm.org/detail.cfm?id=2030258

Allan Astrup Jensen

Vi får hvad vi fortjener, hvis vi tror at IT løser alverdens problemer, men straffeloven bør jo følge med IT tiden.Poul-Henning har jo ret i at når vi tvinges ind i et IT system, så skal data være lige så utilgængelige for uvedkommende, som i gamle dage. Hvis firmaer/ledelser ikke lever op til deres ansvar skal de naturligvis straffes så kraftigt at det ikke gentager sig der eller andre steder.Samtidig bør de personer og firmaer hvis fortrolige data bliver offentligt tilgængelige have økonomisk erstatning.

Niels Ankersen

Hold da op en gang ekstreme meninger. Du være en eftertragtet afdelingsleder i et nordkoreansk IT-firma Poul-Henning. Vi kan vel alle bliver enige om at der har været et sikkerhedshul og det må de få rettet op på, men at kræve at retssystemet skrider ind er da i den grad at overreagere.

Skal de ansvarshavende i MS smides i fængsel hvis de har introduceret en ny exploit i forbindelse med en opdatering? Fantastisk ukonstruktiv måde at løse sikkerhedsproblemer på og jeg håber virkelig du troller.

Jeg kunne forestille mig at fængselssystemet ville bugne af rockere og udviklere der har fucket op hvis vi levede i din verden...

Vita Gülsen

Udover diskussionen om DIBS og software, sikkerhed og ansvar - hvad er så planen m. de berørte? Bliver der offentliggjort en liste over de 60 virksomheder? Bliver kunderne informeret om at der har været sikkerhedsbrud/ fejl i systemet og at man derfor KAN være emne for id-tyveri el. lign. ?
Det kan vel ikke passe at det stadig er op til slutbrugeren, selv at opdage og kortlægge sin færden historisk, HVIS skaden sker ?

Gert Madsen

Hold da op en gang ekstreme meninger

Dette her er jo præcis som når SAS er flere år om at opdatere deres brochurer om kompensation ved aflysninger og forsinkelser, og som når diverse rådgivningsfirmaer laver energirapporter der er afkoblet fra den virkelighed de skulle beskrive.

Der kan spares/tjenes penge ved ikke at gøre det rigtigt, og der er ingen straf, hvis det bliver opdaget.

Hvis man vil have det til at virke, skal der straffes.
Det er en kendsgerning og det har ikke noget med ekstremt at gøre.

Niels Ankersen

har ikke noget med ekstremt at gøre

Så du er simpelthen enig med PHK om at smide en direktør i fængsel i et år for underafdelingens sløseri med sikkerheden? Og hvis ja, er jeg målløs.

Konsekvenserne kommer vel automatisk i form af tabte markedsandele hvis kunderne vurderer at firmaet ikke gør det godt nok. Så kan det diskuteres om der skal anden økonomiske straf oveni.

Gert Madsen

Du svarer stadig ikke på om du er enig i en fængselsstraf.

Selvfølgeligt skal strafferammen gå op til fængsel.
Der er mennesker, der ikke har respekt for bøder, der kan tørres af på aktionærerne. Lige som der ikke skal kunne spekuleres i om besparelsen er større end bøden.

Vi taler altså om et firma, der har som formål at håndtere digitale transaktioner. Så uvidenhed er ikke rigtigt tilfældet her.
Der skal selvfølgeligt kunne påvises at det er sket forsætligt, før der skal ruskes tremmer. Til gengæld bør der være objektiv bødestraf, så der altid falder en straf, hvis andre menneskers data er kompromiteret.

Og så venter jeg spændt på eksemplerne på at det hjulpet at sige "fy".

Og tror jeg ikke helt jeg forstår det andet spørgsmål.
Det er Lalandia, der vælger operatøren, ikke kunden. Men det er kundens oplysninger der er kompromiteret.

Per Hansen

Så du er simpelthen enig med PHK om at smide en direktør i fængsel i et år for underafdelingens sløseri med sikkerheden? Og hvis ja, er jeg målløs.


Så du mener ikke at direktøren i sidste ende er ansvarlig for underafdelingen?? hvis ja, er jeg mållås.
En direktør tager ansvarlig for at få hele firmaet til at fungere korrekt, og får også betalt derefter.

s_ mejlhede

Så du er simpelthen enig med PHK om at smide en direktør i fængsel i et år for underafdelingens sløseri med sikkerheden? Og hvis ja, er jeg målløs.


Ja er også enig, kaptajnen på et skib har også altid ansvaret.
Hvis redningsbåden ikke virker på grund af at de ikke er vedligeholdt på et skib, så kan Kaptajnen og de ansvarlige komme i fængsel.

Her et firma sparet på netsikkerhed, sikkert for at spare penge, de har sikkert lige fyret alle dem som skulle stå for det.
Da samfundsesvigtige data er lagt i deres hænder, og de har ansvaret for dem så må ledelsen for firma påtage sig ansvaret, ikke den der lige er har fået alt ansvar for sikkerhed, som 2-3 andre stod for før. (Eller findes han i Indien, så har han jo nok allerede sin egen kopi af bassen)

De har vundet en kontakt, hvis de ikke har opfyldt den på sikkerheds områder, så bør bestyrelsen kunne få fælsenstraf, hvis de er bange for det må de lade være med at byde på opgaver som de ikke er voksen nok til at håndtere.

Chefer og bestyrelser taler to tit højt om at de store lønninger gør at de kan tiltrække de rigtige mennesker.
Når lønninger er over 1-2 milioner eller langt højere, følger ansvaret også med, så de må også må tage et ansvar her og gå i fængsel, de har jo sparet på sikkerhed, for at kunne sparre penge som er udbetalt til aktioner og dem selv.

Hvis skibsføreren har vedligeholdt redningsbåde efter foreskrifter og lavet lovbefalet øvelser, kommer de jo heller ikke i fængsel, hvis de ellers har passet deres arbejde.

Niels Ankersen

Jeg er skam ikke uenig i at direktøren har det overordnede ansvaret for firmaet - jeg mener bare der er gået for meget "høtyv og fakler" i det. Folk antager at firmaet bevidst har sparet på sikkerhed - en anden mener at de har fyret alle de folk der skulle stå for sikkerheden. Wat?
Skal vi ikke holde os til det vi ved i stedet for at lynche direktører, aktionærer, ja selv hele it-afdelingen skal ned med nakken.

Fakta er iflg artiklen:
1) Et system som IKKE indeholder kreditkortnumre, men kvitteringer, er blevet kompromitteret.
2) Firmaet lukkede for adgangen så snart de blev gjort opmærksom på problemet.
3) Kvitteringerne indeholdt personnavne, navne på varer og priser, men stadig ingen kreditkortnumre.

Som jeg ser det bliver sagen blæst fuldstændig ud af proportioner. Jeg synes personligt heller ikke brudet på sikkerheden lyder heldig, men samtidig reagerede firmaet trods alt øjeblikkeligt på version2s henvendelse. Det er jo ikke fordi de gentagne gange (såvidt man kan læse ud fra artiklen) er blevet gjort opmærksomme på et sikkerhedshul for derefter at ignorere det.

Min pointe: pak dog lynchsteminingen og antagelserne lidt væk og se sagen som den er: uheldig men ingen økonomisk kriminalitet er begået på baggrund af den - såvidt vi ved.
Det er stadig langt ude at tale om fængselsstraffe.

Ad Gert: Lalandia er kunden - hvis Lalandia føler deres kunders persondata ikke er sikre hos DIBS skifter de nok udbyder.

s_ mejlhede

Fakta er iflg artiklen:
1) Et system som IKKE indeholder kreditkortnumre, men kvitteringer, er blevet kompromitteret.
2) Firmaet lukkede for adgangen så snart de blev gjort opmærksom på problemet.
3) Kvitteringerne indeholdt personnavne, navne på varer og priser, men stadig ingen kreditkortnumre.


1) Som kan bruges til identitets tyveri.
2) Der var åben i næsten et halv år, og de finder først ud af det efter en myndighed i en andet Land gør dem opmærksom på det.
3) Navne på personer som er efterlyst eller andet, hvis det var mening at vi alle skulle have adgang til det så lade vi vel dem på nettet. Altså stærkt person følsome oplysninger.

Jeg synes ikke at aktionærer skal lynses, en god bøde der halvere aktiekursen, er noget de fleste forstår.
Men det kunne være en ide med bestyrelse og formand, også billigere og mere præventiv ind fængselstraf :-)

Niels Ankersen

1) Jeg synes heller ikke jeg benægter nogen steder det kan bruges til identitetstyveri. Hvis man absolut ville begå identitetstyveri var det da en overordentligt besværlig måde at gøre det på. Så ville det vel være smartere det her.
2) Halvt år? Mener du ikke 7 år? Og andet land? Var det ikke version2 selv der gjorde dem opmærksom på problemet? Har du læst noget jeg ikke har læst?
3) Hvis jeg forstår sætningen korrekt mener du altså det er et problem hvis en person på en kvittering er efterlyst? Jamen det er det vel, men problemet skal vel stadig ikke blæses ud af proportioner?

Hvem skulle så udstede sådan en bøde? En økonomisk bod kunne da komme på tale - i hvert fald frem for fængelsstraf :) Og som du selv er inde på er fængelsophold sindssygt dyrt for samfundet og giver ikke rigtigt mening i denne sag.

Og hvad mener du med at det kunne være en idé med bestyrelse og formand?

s_ mejlhede

Hvem skulle så udstede sådan en bøde? En økonomisk bod kunne da komme på tale - i hvert fald frem for fængelsstraf :)

Det kunne man også, en bøde på 20% af hele omsætningen.
eller
3 gange det fulde beløb som kontrakten har kostet.

Bøden skal jo være på en størrelse som man absolut ikke har lyst til få,
og der for bruger tid/penge på sikkerhed.

Ud og over det synes jeg du tager nem på persondata, lige så nem som alle dem der også er ansvarlige for noget sådan, og der for gang på gang, laver brølere der giver de forkerte adgang. Hvis alle de ansvarlige blev fyret uden løn/pention, så var det ikke sikkert man så så sløset på det.

BP, brugte jo den også den billigste genvej da de boret i golfen, og det have de sluppet fra i mange år. Sikkert sparet flere penge ind , ind det det skvat olie de pumpet ud i golfen.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017