IBM om Se og Hør-skandalen: 'En rigtig alvorlig sag'

IBM er i samarbejde med Nets i gang med en 'fuldstændig undersøgelse' af anklagerne om en medarbejder, som solgte strengt fortrolige oplysninger til Se og Hørs journalister.

Opmærksomheden er blevet rettet mod IBM pga. BT's historie om, at det var en systemspecialist hos IBM, som gennem fire år solgte meget private betalingsoplysninger fra Nets' databaser til Se og Hør-journalister.

Læs også: Avis: IBM-medarbejder er Se & Hørs ulovlige kilde

Men det er meget lidt, som IBM vil sige om sagen.

»Det er en rigtig alvorlig sag,« siger IBM's pressekoordinator, Karsten Stokking, da Version2 får fat på ham, men derudover vil han ikke udtale sig eller svare på spørgsmål, ud over at læse op fra den skriftlige melding, som IBM har forfattet:

»Beskyttelse af kundedata har allerhøjeste prioritet hos IBM, og vi tager denne sag meget alvorligt. Vi har allerede indledt en grundig gennemgang af sagen og arbejder tæt sammen med vores kunde (Nets, red.) for at gennemføre en fuldstændig undersøgelse. IBM vil også samarbejde med de relevante myndigheder i det omfang, der er behov for det,« skriver IBM i den officielle melding om sagen.

Driften af de centrale it-systemer hos Nets blev i 2007 placeret hos IBM, og ved den lejlighed blev 71 medarbejdere flyttet med. Det skulle ifølge BT være en af disse personer, som endte med at sælge de private data til Se og Hør, et samarbejde, som begyndte ved prins Joachims bryllup med prinsesse Marie i 2008.

IBM-medarbejderen skulle ifølge BT have solgt oplysninger til Se og Hør fra 2008 til 2012, hvor han blev fyret og dermed mistede adgangen til Nets' database over transaktioner.

Inden da var både en lang række danske kendisser og medlemmer af kongefamilien blevet ofre for den ulovlige overvågning, hvor alle data om betalinger i ind- og udland blev lækket til Se og Hør, kort tid efter at kortet var kørt igennem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

Hvordan kan det være at det er IBM der undersøger sig selv?

Sagen er da så alvorlig at det bør og skal være politiet der undersøger IBM og Nets, da der jo tydeligvis er noget helt galt med sikkerheden begge steder.

Og da begge jo er dybt involveret i administrationen af danskernes digitale identitet og deres økonomi er sagen meget, meget alvorlig.

Man lader vel heller ikke den lokale Bandidosklub om selv at undersøge om et af medlemmerne har solgt narkotika på skolerne?

Christian Nobel

IBM kan vel godt undersøge interne procedurer, Finanstilsynet og Politiet er jo tilsyneladende igang også.

Det er faktisk ikke godt nok.

Politiet burde være i gang med at ransage begge foretagender, for at sikre bevisførelsen - prøv at tænke på at den såkaldte retsstat ingen skrupler har med at varetægtsfængsle unge mennesker for DDOS angreb, eller kræve en udlænding udleveret til varetægtsfængsling i halve og hele år, mens politiet prøver at finde ud af hvad han skal anklages for.

Jeg ser denne sag som dybt, dybt problematisk, og endnu mere problematisk at politikerne kun taler om presseetik mv., men slet ikke har forstået de meget mere alvorlige aspekter af sagen.

Erik Cederstrand

Jeg ser denne sag som dybt, dybt problematisk, og endnu mere problematisk at politikerne kun taler om presseetik mv., men slet ikke har forstået de meget mere alvorlige aspekter af sagen.

Jeg forstår til gengæld ikke hvorfor politikerne himler sådan op. Hvis de ikke har noget at skjule i deres kontoudtog, så har de jo ikke noget at være bange for?

Det er jo dybt professionelle mennesker og firmaer, som håndterer vores private data under de strengeste sikkerhedskrav, så misbrug vil ikke foreko... hov.

Steen Eugen Poulsen

Snowden tog røven på andre medarbejder og ledelse, han gjorde det gratis og hvad der ser ud til at ende op med at blive betraget som i en god sags tjeneste.

Nu har vi en eller anden usympatisk forbryder der misbruger sin stilling fordi et temmeligt slimet og moralsk forkvaklet kultur har udviklet sig på Se & Hør.

Det er muligt at CSC ikke beskyttede systemet godt nok, det er muligt at det system der er brugt til at hente personers data ud fra dankortsystemmet ikke havde livrem og seler nok indbygget og gjorde det for let for disse personer at begå deres forbrydelse.

Disse detaljer er ligegyldige når vi snakker om det er i orden at disse moralske taber begår deres handling. Hvad bliver det næste at Bagger skulle være gået fri fordi det var folks egen skyld han snød dem?

Christian Nobel

Render du også rundt og overveje at købe et Eiffeltårn af en tilfældig forbipasserende?

Det er mere end naivt ikke at tage højde for at mennesket af natur er bedragerisk, når man sidder med ansvaret for systemer af den slags der er tale om her.

Og karakteren for opgaveforståelsen er -2 hvis man flytter fokus fra dette, til klapjagten på en anløben småforbryder - det svarer til at bruge kræfterne på at knalde små dealere af hash, samtidig med de virkelige forbryder står i baggrunden og forhandler kokain i pallevis.

I øvrigt har det intet med CSC at gøre, så dit forsvar for dem er ret så irrelevant!

Peter D Hansen

Hvorledes mon den store nordiske bank, han tilsyneladende arbejder for i dag, håndterer situationen? Foreløbig er det blot en anklage - men HVIS de er sande, burde han måske suspenderes allerede nu mens det undersøges?

Eller skal denne bank bare lade som ingen ting, ind til der foreligger en dom om nogle år? Man er uskyldig til andet er bevist, men banken har også et ansvar over for deres kunder, at minimere risici.

Kristian Klausen
Ib Erik Söderblom

Der bør øjeblikkelig beordres "bag kanon", så der ikke fifles eller aftales noget, som forhindrer den fulde belysning af hele sagen, og et komplet anklageskrift mod den forkvaklede person, som kunne finde på at fremskaffe oplysningerne, og mod de jornalister og den ledelse, som tog mod det.
Havde de været ægte journalister, havde de dækket historien om lækagen.
Da de er småtskårne sladderkællinger, valgte de selvfølgelig noget andet !
Vores datasikkerhed er en særdeles alvorlig sag !!!

Knud Larsen

@Nobel
Men hvad med den almindelige outsourcing. DbBNor har outsourcet alt til Ukraine. Hvor billigt er det mon ikke at anbringe eller købe en medarbejder til lidt kreativ hjælp der.
Når det er så let i DK er det garanteret lige så let andre steder - og billigere.
Kort og godt som Snowdon viser det, der er ingen kontrol med personlige data.

Per Gøtterup

For en som mig der arbejder med kortbetalinger giver det ingen mening at BH (medarbejderen hos IBM) skulle have adgang til kortnumre i klartekst. En forsvarlig applikation på Nets betalingsserver tager imod data fra enten en webside eller via et API, foretager validering og autoriserer beløbet via relevant acquirer, og krypterer derefter kortnummer, CVV og udløbsdato (PCI certificeringskrav) og sender dette til databasen, som muligvis ligger på en mainframe hos IBM.

BH burde derfor kun have adgang til de enkelte transaktioner hvor eneste binding til en specifik kunde er de krypterede kortdata. Nogen hos Nets må derfor have hjulpet med at sætte navn på de krypterede kortnumre, og med et krypteret kortnummer er det trivielt at udtrække alle de transaktioner man måtte ønske.

Der er derfor følgende spørgsmål som må besvares:

1) Havde BH adgang til et system som kunne sætte navn på de krypterede kortnumre? - Hvis ikke, hvem havde og kunne hjælpe ham?

2) Blev opslag og søgninger logget som de bør jvf. PCI, og hvorfor blev disse logs ikke løbende checket? - Det foregik jo i over 4 år så der var masser af mulighed for at spotte de uautoriserede opslag.

3) Var andre kolleger involveret? - Det er interessant at BH kunne gøre dette løbende uden at nogen fattede mistanke.

Gert Madsen

Disse detaljer er ligegyldige når vi snakker om det er i orden at disse moralske taber begår deres handling.


Det betyder jo ikke at man skal ignorere denne sammenhæng.

Den nuværende lovgivning har som udgangspunkt at almindelige mennesker er kriminelle, og at offentlige ansatte/indhyrede firmaer er engle.

Dette viser med al tydelighed at det er en forkert antagelse.

Derfor er det så farligt med den voldsomme registrering/overvågning vi bliver udsat for.
Det ender altid med at blive misbrugt af svage sjæle.

Chano Klinck Andersen

BH burde derfor kun have adgang til de enkelte transaktioner hvor eneste binding til en specifik kunde er de krypterede kortdata. Nogen hos Nets må derfor have hjulpet med at sætte navn på de krypterede kortnumre, og med et krypteret kortnummer er det trivielt at udtrække alle de transaktioner man måtte ønske.

Nu er nets jo ikke bare en betalingsudbyder som f.eks. DIBS. Nets sørger for at validere at kortene er korrekte (Altså at kortnummer, CVV og udløbsdato er korrekt, og har derfor disse i en form der gør at man altid kan kontrollere at de data der kommer ind, matcher det kort som korthaver har.

Desuden er nets også ansvarlig for at sende besked til bankerne om at kortet er brugt, her under den tekst der skal stå på kontoudtoget.. Der er altså rigelig mulighed for at snappe data der kan bruges til at kæde transaktion og kortholder sammen.

Log ind eller Opret konto for at kommentere