Sikkerhedsbrist hos betalingskæmpe: Fakturaer frit tilgængelige i 7 år

Betalingsløsningen DIBS har i syv år haft et problem med virksomhedens fakturaløsning. Siden lanceringen af løsningen i 2006 har det været muligt at tilgå andre virksomheders fakturaer til både private og virksomheder. Sammenlagt er der tale om flere hundrede tusinde fakturaer, der lå frit tilgængeligt på nettet.

Fakturasiden var over en krypteret forbindelse, men en lille ændring i en URL, lod internetbrugere se andre fakturaer. Her kunne man blandt andet se vare, pris, kundens mail, adresse, telefon og andre oplysninger om kunden. Eksempelvis kunne man se, at en navngiven kunde havde været på badeferie i Lalandia for 1.638 kroner, at en virksomhed havde købt 100 Täno-stole og 27 Täno-borde fra Ikea til 12.768 kroner, og at flere navngivne medarbejdere i Danmarks Statistik havde modtaget massage.

I andre tilfælde kunne man se ændrede rejsedatoer, hvor både flynummer, rejsedato, lufthavn samt afgangs- og ankomsttidspunkter var specificeret. Og det er meget uheldigt, lyder det fra rejseselskabet Kilroy, der er en af de i alt 60 berørte virksomheder.

»Min første reaktion er, at det ikke lyder særlig rart og det lyder relativt alvorligt, uden at jeg kender til sagens sammenhæng i øvrigt, det er første gang, jeg hører om det,« siger Claus H. Hejlesen, direktør i Kilroy, til Version2.

Også i Ikea er man utilfreds med, at virksomhedens fakturaer lå til offentligt skue.

'Ikea synes selvfølgelig ikke, det er o.k., at alle kan gå ind og kigge i et fakturasystem, da der her er tale om et kundeforhold, der kun bør være mellem Ikea og kunden,' skriver Tina Würgau Lindharth, pr-ansvarlig i IKEA Danmark, i en mail til Version2.

Kunder: Foruroligende

Version2 har kontaktet flere af de kunder, hvis oplysninger lå frit tilgængeligt på nettet, fordi de havde handlet med en af de 60 virksomheder. En af de kunder, hvis faktura har været frit tilgængeligt på nettet er Philip Jarnhus. Her kan man se, at han har været på et ferieophold i en virksomhed, og at opholdet har kostet et bestemt beløb.

»Det gør mig ikke noget, at man kan se, at jeg har været på et ferieophold. Men mange af tingene bliver betalt forud, så dermed er der oplysninger forud om, at personen ikke er hjemme. Det er ikke rart, for det gør det let at begå identitetstyveri eller indbrud,« siger Philip Jarnhus til Version2.

Samme reaktion får Version2 fra Kurt Nielsen, der sammen med familien har været på et ophold i Lalandia, der benytter DIBS' faktureringstjeneste.

»Vi er nok lidt mistroiske i vores familie, men det er lidt foruroligende, at det ligger tilgængeligt på nettet. Det har jeg det ikke så godt med, for vores ferier er noget, vi passer for os selv. Hvis vi vil have, andre skal vide, at vi er på ferie, fortæller vi dem det. At det så ligger frit på nettet, er vi lidt utrygge ved,« siger Kurt Nielsen til Version2.

»Det er overraskende, at det ligger frit tilgængeligt. Det synes jeg ikke, det skal, og det irriterer mig, at sådan noget ikke er beskyttet bedre,« siger Gitte Jørgensen, der også har været i Lalandia.

DIBS: Vi beklager

Hvordan kan det ske?

»Det er en fejl,« siger Robert Stenholdt Mygind, teknisk direktør i DIBS, til Version2 og fortsætter:

»Det er vigtigt at pointere, at vi har systemer, der indgår i vores PCI-certificering, dvs. kode indgår i bl.a. codereview og sikkerhedstest. DIBS' e-mail ligger uden for PCI-scope, da det ikke indholder kortdata og andre følsomme data, så derfor undergik DIBS' e-mail ikke samme processer, da det blev udviklet i 2006. Men efterfølgende vedligeholdelse har været udført inde for samme procedure.«

Da Version2 kontakter DIBS om fejlen, har virksomheden ikke umiddelbart hørt om problemet før. Kort efter Version2 kontakter DIBS, lukkes tjenesten helt ned, så fakturaerne ikke kan tilgås.

»Vi har lukket produktet ned indtil videre. Det betyder, at vores kunder ikke kan foretage faktureringer, indtil vi har en løsning klar. Faktureringen er dog asynkron, så vi vurderer ikke, at virksomhederne vil miste kunder, fordi systemet er nede,« siger Robert Stenholt Mygind til Version2.

»Det er selvfølgelig meget uhensigtsmæssigt, at man kan se andre kunders kvitteringer. Det beklager vi meget. Det er ikke optimalt, at jeg kan se, hvad andre har handlet.«

DIBS understreger, at faktureringssytemet er helt separat fra den betalingsløsning, som virksomheden tilbyder bl.a. netbutikker.

»Systemet har intet med vores normale betalingsgateway at gøre, og derfor er der ingen risiko for, at man kan få fat i kortnumre eller andre følsomme oplysninger,« fastslår Robert Stenholt Mygind.

Fordi løsningen nu er offline, vil man altså ikke kunne se fakturaer fra de 60 berørte virksomheder.

»Kunder i de berørte virksomheder vil lige nu ikke kunne se deres kvitteringer. Men i og med det er et asynkront system, kan virksomhederne eksempelvis vælge at sende fakturaen en anden dag.«

DIBS' e-mail er et faktureringssystem, hvor virksomhederne kan sende fakturaen, når det passer dem. Det er altså ikke direkte afgørende for handlen i virksomheden, at der kan faktureres her og nu. Derfor vurderer DIBS ikke, at det, at tjenesten nu er offline, har den helt store betydning.

»Ud over, at løsningen er nede i nogle dage, fordi vi har taget produktet offline, kan jeg ikke se nogle konsekvenser for butikkerne. De kan køre deres betalinger efterfølgende,« vurderer Robert Stenholt Mygind.

Faktisk var DIBS i forvejen ved at trække stikket på løsningen, der altså har været i drift siden omkring 2006.

»DIBS' e-mail-systemet er under udfasning og skulle være udfaset 1. august. Den deadline har vi nu rykket, og systemet vil være udfaset inden udgangen af juni. Det kan ikke nytte noget, at vi bygger et nyt DIBS e-mail-produkt, der kun skal køre kortvarigt, så vi fokuserer på, at få rykket vores kunder over på den nye løsning,« slutter Robert Stenholt Mygind.