Tirsdag ettermiddag ble det avdekket et innbrudd i søketjenesten til kartselskapet Norkart.
Søketjenesten ble umiddelbart stengt og sårbarheten ble utbedret en snau halvtime etter at innbruddet ble oppdaget - men ikke før personopplysninger til 3,3 millioner nordmenn var hentet ut.
Datainnbruddet er politianmeldt og etterforskning pågår. Det er ennå uklart om dataene som er stjålet er misbrukt, men bekreftet at personopplysninger om hele 3,3 millioner nordmenn ble lastet ned før lekkasjen var «tettet».
Datalekkasjen gjør at personopplysningene til alle norske boligeiere potensielt kan misbrukes til ID-tyveri. Ønsker du å sikre deg mot at noen tar opp lån i ditt navn, er ekspertrådet glassklart - da bør du sperre for kredittsjekk:
- Ja, det bør man absolutt gjøre. Det er ingen grunn til at dette skal ligge åpent og tilgjengelig, sier Lars-Henrik Gundersen, administrerende direktør i Norsis (Norsk senter for informasjonssikring).
Les også: Fornebubanen er elendig politisk styrt, men vi bør bygge den uansett
Kan søke lån i ditt navn
I en pressemelding skriver Norstat at ukjente aktører utnyttet en sårbarhet i en søketjeneste som henter kopidata fra Norges offisielle eiendomsregister - derfra ble informasjon lastet ned av uvedkommende.
Sårbarheten skyldtes en feil i konfigurasjonen av brannmur for søketjenesten, som ga uautorisert tilgang til tjenesten. Hendelsen betyr at personopplysninger om 3,3 millioner nordmenn er på avveie:
«Selv om hendelsen ble raskt avdekket, kan uvedkommende ha tilgang til informasjon om deg. Informasjon som navn, adresse og fødselsnummer for tidligere- og eksisterende eiere samt festere og eiere av boretter er berørt», skriver Norkart i meldingen
- Det vi vet at at enormt mange nordmenn er berørt, og at personopplysninger til 3,3 millioner nordmenn er lekket. Dataene som er lekket er ikke sensitive opplysninger i seg selv. Men når man kan sammenstille opplysningene, er dette alvorlig. Selv om lekkasjen er lukket, vet vi ikke noe om hvorvidt dataene faktisk er misbrukt, sier Janne Stang-Dahl, konstituert direktør i Datatilsynet.
Personopplysningene som er lekket er personnummer, navn og adresse for tidligere- og eksisterende eiere samt festere og eiere av boretter. Personer med fortrolige adresser og/eller skjermede bygg er ikke omfattet av hendelsen, opplyser Norkart.
Hendelsen utløser en omfattende risiko for ID-tyveri:
- ID-tyveri er at noen tar opplysninger om din identitet - de later for eksempel som om de er deg, og kan da ta opp lån eller gjøre en stor handel i ditt navn. Alle som er berørt av denne datalekkasjen har nå denne risikoen. Hvorvidt det har skjedd eller om dataene er misbrukt, er så langt usikkert, sier Stang Dahl.
Kan misbruke dataene når som helst
En kredittsjekk foretas for eksempel når du skal ta opp lån eller tegne mobilabonnement. Det er denne prosessen som kan skje uten at du merker det dersom noen har stjålet nok opplysninger til å gjøre dette i ditt navn.
- Det man bør gjøre er generelt å følge med på ordrebrekreftelser, gjenpartsbrev av kredittopplysninger, bekreftelser på inngåtte avtaler og lignende, på epost. Man må være mer oppmerksom, sier Gundersen.
Et sentralt poeng er at det er umulig å vite når et eventuelt misbruk vil inntreffe:
- Det vanskelige er at man ikke vet når opplysningene tas i bruk av kriminelle. Det kan skje raskt og det kan skje etter flere måneder, sier Norsis-sjefen.
- Et mareritt
Gundersen legger til at Norsis oppfordrer selskaper til å gå bort fra fødselsnummer som eneste identifikasjonskrav. Han håper hendelser som dette kan være en vekker:
- Det er en klar oppfordring til leverandører at man slutter å benytte dette som eneste kilde. Heller ikke leverandørene ønsker jo å åpne kundeforhold til noen som gir seg ut for å være en annen.
Les også: Reagerer på at bompenge-boom i Oslo rammer spesielt én gruppe: - Frekt
Datatilsynet oppfordrer ikke eksplisitt til kredittsjekk-sperre, men støtter at dette bør gjøres hvis man er bekymret.
- Det er den sikreste garantien du har. Og så må man følge godt med, være obs på epost og så videre, for å finne ut om noen allerede har gjort en kredittsjekk uten at du visste om det, sier Cecilie Tvetenstrand, forbrukerøkonom i Storebrand.
Selv om sannsynligheten for ID-tyveri er liten, er hun tydelig på at sperring har mye for seg:
- Hvis du er bekymret, er det ikke tvil om at du må gjøre dette. ID-tyveri er ekkelt å tenke på. Jeg har selv opplevd å vært tett på noen som har opplevd dette, og det er et mareritt, sier Tvetenstrand.
- Heller stenge og åpne opp
Ekspertene oppfordrer alle til å følge ekstra godt med på godkjenninger og bekreftelser som kommer på epost. Dette er foretakene som har konsesjon til å foreta kredittsjekk:
Sperringen skjer ved innlogging med BankID eller andre autentiseringsprosesser. Prosessen kan virke litt tungvint, siden den må gjøres fire ganger, men alternativet er en åpen risiko for ID-tyveri:
- De færreste trenger en kredittsjekk i det daglige. Skal du ta opp lån eller tegne mobilabonnement, bør du heller åpne opp for det formålet, og heller stenge igjen etterpå, sier Lars-Henrik Gundersen i Norsis.