Læsetid: 3 min.

Hvem har adgang til kreditkortoplysninger?

Salg og påstået misbrug af oplysninger om kreditkorttransaktioner rejser alvorlige spørgsmål om de beføjelser, som medarbejdere har haft hos IBM og Nets, siger it-ekspert
3. maj 2014

Hvordan var det teknisk muligt for en tidligere medarbejder hos IBM at videregive oplysninger om kreditkorttransaktioner om kendte og kongelige til Se og Hør over en periode fra 2008 til 2012 – uden at medarbejderen blev opdaget før nu?

Det forhold rejser spørgsmål om de beføjelser, som medarbejdere i IBM og Nets med adgang til oplysningerne har haft. Og hvordan de beføjelser er blevet overvåget, siger it-sikkerhedsekspert.

En anden kilde – en tidligere medarbejder hos Nets, der angiveligt har været ansat i kundeserviceafdelingen – berettede i går anonymt til netmediet Version 2 om, hvordan han selv har haft fuld adgang til oplysninger om kreditkorttransaktioner.

Det forudsatte dog, at han kendte til personernes cpr-nummer eller kontonummer. Hvis de ansatte ikke havde de oplysninger, var det muligt af få oplysningerne via internationale betalingskort.

»Lige så snart, kortet bliver sat i en terminal, kan du se, hvor folk er henne, og hvad de har brugt af kroner i hvilke butikker – også i udlandet og ved kontanthævninger. Vi kunne også se, hvad forretninger omsatte for. Problemet er, at det var alle, som havde adgang til de her oplysninger,« siger kilden til Version 2.

Kilden påstår desuden, at den adgang blev misbrugt til at kigge på venner og kæresters transaktioner, og ifølge kilde krævede det ingen særlige beføjelser eller tildelte rettigheder at gå til oplysningerne.

Hvis det er korrekt, er det »helt vanvittigt«, siger Jan Kaastrup, der er direktør hos it-sikkerhedsfirmaet CSIS.

Han siger, at der gælder en langt mere restriktiv adgang til sådanne oplysninger, når ansatte i banker skal tilgå almindelige kundeoplysninger.

»Der arbejder man sådan, at det, man slår op, bliver logget. Og der er antifraud-systemer, der detekterer de personer, der har tilgået data, som de ikke burde, eller som udviser uregelmæssig adfærd. Og det skal personerne stå til regnskab for,« siger Jan Kaastrup.

Nets’ pressechef siger dog til Version 2, at firmaet har kontroller mod datamisbrug, men vil ikke uddybe hvilke. Pressechefen siger samtidig, at der har været sager, hvor medarbejdere har tilgået data, de ikke burde – og at det har ført til fyringer.

I forhold til Se og Hørs kilde, der videregav og -solgte oplysninger om korttransaktioner om de kendte og kongelige, vides det, at han var ansat som konsulent hos it-firmaet IBM. Firmaet har ansvaret for drift af Nets’ (tidligere PBS) servere, og det var angiveligt herigennem, at medarbejderen kunne tilgå kreditkortoplysninger.

Hvordan og hvilken logning

Indtil videre er der ikke vished om, præcist hvordan medarbejderen har formået at tilgå systemerne, men det fremgår af kildens nu slettede profil på det sociale medie LinkedIn, at han beskæftigede sig med IBM mainframes, en type højkapacitets- computer.

Det forhold kunne tyde på, at han har haft adgang til hele databaser med information om kreditkortoplysninger. Og hvis det er tilfældet, er det særligt interessant, hvilken logning af denne persons aktiviteter, der er foregået, siger Jan Kaastrup.

»Selv om der er en fin logningsteknologi i systemet, så kan den muligvis være implementeret sådan, at den kun logger hændelser på applikationsniveau, men ikke på databaseniveau,« siger Jan Kaastrup.

Han henviser til, at almindelige brugere formentlig er blevet registreret, når de har brugt systemet, men at det er tvivlsomt, hvordan sikkerheden har været i forhold de store mængder af oplysninger samlet på databaser, som IBM har ansvaret for.

– Er det ikke næsten urealistisk at tro, at der ikke har været logning på databaseniveau?

»Selvfølgelig har der været logning, men spørgsmålet er, om man har brugt det aktivt. Spørgsmålet er også, om der har været logning af alt. Hvis du er administrator, kan du i princippet kopiere hele databasen. Det bliver måske ikke logget. Men her kan vi kun gisne,« siger Jan Kaastrup.

Nets var blevet advaret

Mails, som BT har fremlagt, tyder på, at det kun har været på bestemte tidspunkter, at IBM-medarbejderen har kunne tilføje nye navne til den liste over personer, hvis kreditkort skulle overvåges. Det fremgår af en mail, at det er »svært« og »risikabelt« at tilføje personer »løbende«.

Imidlertid virker den løbende overvågning af de personer, som allerede var på listen, som relativt tilgængelig. Kilden fra IBM var under alle omstændigheder i stand til at sende sms’er til en medarbejder på Se og Hør, som kunne følge med i de kendte og kongeliges forbrug.

TV 2 Nyhederne kunne torsdag afsløre, at Nets for halvandet år siden blev tippet om, at en medarbejder videregav oplysninger til Se og Hør, men Nets fandt angiveligt ikke noget mistænkeligt, da de undersøgte sagen.

Nets og IBM, Datatilsynet, Aller Media og Københavns Vestegns Politi er i gang med undersøgelser og efterforskning af sagen.

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritiske, seriøse og troværdige.

Se om du er enig – første måned er gratis

Klik her

Er du abonnent? Log ind her

Anbefalinger

  • Jette M. Abildgaard
  • Claus Piculell
Jette M. Abildgaard og Claus Piculell anbefalede denne artikel

Kommentarer

Lise Lotte Rahbek

Det mest bekymrende er ikke, at de ansatte stikker snuden i oplysninger, som ikke rager dem.

Det bymrende er, at befolkningen er pålagt at bruge disse 'tjenester'.

Niels Mosbak, Carsten Mortensen, Henrik Darlie, Torben Nielsen, Ib Christensen, lars abildgaard, Mette Hansen, Claus Jørgensen og Rune Petersen anbefalede denne kommentar
Børge Rahbech Jensen

tvivler lidt på Jan Kaastrups påstande. Det undrer mig, hvis enhver bankmedarbejder med kundekontakt ikke har adgang til alle konti i banken. De kan ikke vide på forhånd hvilke kunder, der henvender sig enten ved kasssen el. telefonisk. Et antifraud-system som det beskrevne afslører netop ikke de, der kan have behov for adgang til givne data. Kendte mennesker kan også få stjålet el. kopieret kreditkort.
Han forholder sig heller ikke til kortselskaber som Visa, Mastercard og American Express.

Jeg undrer mig over, hvorfor staten ikke forlænge siden har købt Nets. Dette er en så vital del af landets infrastruktur, at den absolut ikke bør være på private hænder.

Ud over dette ligger private altså samtidig og roder med borgernes personnumre på den mest sløsede måde. Jeg har stadig også et dansk personnumme samt 2 danske bankkonti, og da mit personnummer er "helligt" for mig, føler jeg mig i høj grad utryk ved denne situation.

Derfor vil jeg godt vide, hvor mange andre useriøse private aktører, der har omgang med mine personfølsomme oplysninger.

Per Torbensen, Jette M. Abildgaard og Mette Hansen anbefalede denne kommentar
Kjeld Hansen

"Hvordan var det teknisk muligt for en tidligere medarbejder hos IBM at videregive oplysninger om kreditkorttransaktioner om kendte og kongelige til Se og Hør"

Fordi vi i Danmark tror vi ikke gør sådan noget griseri. Vi biller os ind, at være det mindst korrupte og mest lykkelige folk i verden med en helt særlig dansk solidaritet og moral - Problemet er bare, at særligt det med vores solidaritet og moral er en opfattelse som måske var gyldigt for 30 år siden. I dag er situationen en anden. Det er alles kamp mod alle og alle knip gælder.

- Det har vi lært fra vores politikere særligt op gennem 00'erne. Politikerne har vist, at der ingen grænser er for spin og manipulation, åleglat udenomssnak og moralsk politisk forfald - Vi siger et, men handler bagefter, som skaber maksimal personlig vinding.

Per Torbensen, Michael Madsen, Torben Arendal, Janus Agerbo, Katrine Visby, Kim Houmøller, Mette Hansen og Claus Jørgensen anbefalede denne kommentar
Kjeld Hansen

Det første jeg tænkte, da jeg hørte om historien var, at der må være tale om en forstyrret person, som sætter sit faste og helt sikkert velbetalte gode job på spil for latterlige 10.000 kr. om måneden.

Lise Lotte Rahbek

Kjeld Hansen
der må være tale om en forstyrret person, som sætter sit faste, muligvis røvkedelige eller fastlåsteog helt sikkert velbetalte gode job på spil for latterlige 10.000 kr. om måneden.
;-)

Kjeld Hansen

Lise Lotte Rahbek
03. maj, 2014 - 18:25*

I så fald må konklusionen være, at personer i fortrolige stillinger kun må arbejde på deltid for ikke at ende i samme situation - kedsommelighed, som er en intelligent persons værste fjende...

Lise Lotte Rahbek

Kjeld Hansen
Det er svært at gennemskue motivet, som du selv er inde på. Jeg kunne bare ikke dy mig for at give mit besyv med. :)

Per Langholz

Jeg må indrømme, jeg forstår slet ikke dette. Er det ikke bare hysteri?. Hvad er der galt med denne overvågning. Det har længe været helt ok med overvågning for de aller fleste. Der er jo kameraer over alt, og det har alle det jo godt med. Hvis man er imod det, er det fordi man har noget at skjule. Alle der er imod overvågning er jo meget mistænkelige. Det er jo dem politiet skulle rette fokus mod. Dog må jeg sige, jeg lige har købt en kabelskjuler, og hvis alle opdager det, er det måske lidt pinligt.

Katrine Visby

Kunne man tænke sig at IBM og Nets har været sløsede med medarbejdernes adgang til oplysninger, fordi de selv gerne vil have den adgang til overvågning?
Nu var det så bare uheldigt at de blev opdaget.

Dette kan bare minde os om at vi skal vænne os til at bruge mere kontanter, og ikke være naive.
Jeg tror det er lidt farligt hvis folk vænner sig til at blive overvåget, og får den holdning at det er OK.
For den grænse bliver hele tiden flyttet. Til sidst kunne vi ende med at få implementeret en mikrochip allesammen.

Denne sag tager forhåbentlig også et opgør med sladderbladene, og deres rolle i vores samfund. Hvor meget fordummende underholdning skal vi have, og er prisen blevet for høj?

Espen Bøgh

Gert Romme

Helt rigtigt, og det burde regeringen VKO have gjort dengang krisen startede i 2008, og bankerne ingen penge kunne låne.

Det havde ikke været svært for regeringen at sige til bankerne; "hvad har I som vi kan købe, f.eks. Dankort, NETS og Nem ID?", altså noget bankerne holder virkelig meget af selv - markedsøkonomi!

De 3 ting havde staten nok kunnet få for en rimelig sum penge dengang, - sådan er markedsøkonomi jo(i det mindste når det går godt og den anden vej for bankerne).

Så kunne man bagefter have fået en snak om hvor mange penge bankerne så havde brug for ellers!

Børge Rahbech Jensen

"Kunne man tænke sig at IBM og Nets har været sløsede med medarbejdernes adgang til oplysninger, fordi de selv gerne vil have den adgang til overvågning?"

Det mener jeg ikke, men andre har sine konspirationsteorier. Jeg tror, overvågningen blev indført som svar på krav om øget beskyttelse mod uretmæssig brug af betalingskort.

Torben Nielsen

Altså. Problemet med Nets og IBM er vel at de er meget centrale. De samme oplysninger kunne fås ved at bestikke medarbejdere i Danske bank, Nordea eller Sparnord eller hvor de kendte nu har deres konti. Selvfølgeligt er det nemmere med centralt placerede spioner, men det andet er ikke umuligt hvis man går efter specifikke personer.

Torben Nielsen

Ja, Per Langholz. Jeg har jo ikke noget at skjule så jeg synes at det er helt okay at man overvåger.

Nu er det jo ikke myndigheder der har spioneret, men et privat stalkerfirma. Hvad om det var gangstere eller rockere? Eller børnelokkere???

Torben Nielsen

Hvad skal vi lave i morgen, Brain?

Det samme som vi laver hver morgen, Pinky. Forsøge at overtage verdensherredømmet!

Frank Hansen

@Gert Romme

Jeg er ganske enig med dig i at Nets er en fundamental del af den danske infrastruktur. Jeg kan dog ikke se hvorfor det skulle medføre, at staten bør eje Nets. Snarere tværtimod. Det lykkes som regel staten at forkludre tingene så grundigt, at privat ejerskab er langt at foretrække. Det er det mange grunde til. Staten opererer uden konkurrence og med en det-er-os-der-bestemmer attitude, som ikke er befordrende for kvaliteten. Dertil kommer, at de stive lønsystemer udelukker, at staten kan tiltrække de mest kvalificerede medarbejdere.

Prøv bare at se på de monumentale IT-skandaler, som staten har stået for. Kommunernes digitale forvaltning er noget som kan afsættes til ethvert museum for samtidskunst. Jeg har været ude for, at Skat tilbød mig et fradrag på 100.000 kr, som jeg absolut ikke var berettiget til, hvis blot jeg ville love ikke at klage over at være blevet nægtet et tilsvarende fradrag i en anden sag, som jeg åbenlyst havde været berettiget til. Det mest overraskende var dog, at de to medarbejdere slet ikke kunne se, at der var et problem.

Niels Mosbak

Frank Hansen

Bare lige for at præcisere, at i dit svar til Gert Romme om hvorfor det absolut er at foretrække at det er private firmaer der driver virksomheder som Nets - så overser du at kilden til de ulovlige oplysninger der er tilgået Se&Hør - netop var ansat i det private firma IBM.

Frank Hansen

@Niels Mosbak,

Det har jeg ikke overset. Jeg udtaler mig blot i generelle vendinger om kvaliteten af statslige virksomheder. Lad mig minde om politiets IT-system, der var indrettet således, at hver politikreds var en ø. Hvis en tyv bosiddende i Helsingør tog på tyvetogt i Hillerød, så kunne politiet i Helsingør ikke bare sende oplysningerne elektronisk til politiet i Hillerød. Næh, proceduren var at udskrive alle sagsakter på papir, som derefter blev sendt til politiet i Hillerød med posten, hvorefter en medarbejder tastede det hele ind i den fil, som blev oprettet på tyven i Hillerød.

Man kan sige meget om IBM, men jeg tror nu aldrig at de har båret sig så tåbeligt ad.

Egon Maltzon

Manden var oprindeligt ansat i PBS (MVS-operatør i jargonen) indtil de outsourcede driften til IBM.
IBM overtog i den forbindelse også en del medarbejdere, og heriblandt også 'Manden'.
Nets bestemmer suverænt hvilke sikkerhedsprocedurer der er omkring deres systemer, og er derfor (nok) det rette sted at gå hen med sine berettigede anklager.
Men som kunde til Nets butik mener jeg at have krav på at få at vide om problemet ligger i mangelfulde sikkerhedsprocedurer, eller om det ligger i at procedurerne ikke er blevet overhold (IBM eller Nets I don't care).
Det er på høje tid at Folketinget får bakset noget lovgivning og noget kvalificeret tilsyn sammen, men jeg har oprigtigt min tvivl med hensyn til om de vil bruge den rette ekspertise.

Neil Butler

Be sure that this case sticks much, much deeper than so.

At the time the Kapo-kontrolanterne paa Jobcentrene, the Nepotterne with netvaerk, which are private, and their only task is to "save" money for the Pampers of the state, and for the Pampers paa Kommunerne, they already know the transactions on your credit cards etc for years in advance.

Then they easily may reject your appliances to subsistence, be those anything. Thus, they tell you knew for instance, years in advance that you would need money now, as we speak to pay your bills etc. "Saadan er det jo!".

Interestingly, they may unhindered use this piece of information in Courts, to put you down, especially if you give them too much trouble.

As private, the Jobcentrene must optimize, reduce the workload, and Nets is just their Partner into the game. It would be weird to be otherwise.

Neil Butler

@Torben Nielsen 04. maj, 2014 - 02:26

Exactly my point, except that there is no need for a distinct bestikkelse. It suffices to be a Partner. As Partner the whole thing just flows..

Helene Nørgaard Knudsen

Jeg tør ikke tænke på hvad en hacker der er kynisk nok kan gøre ved de systemer der skaber strukturerne i vores samfund.

Helene Nørgaard Knudsen

Det må anses for at være samfundsskadelig virksomhed at der ikke er bedre styr på det. Men igen, jeg vil ikke entydigt give nets skylden. Samfundet siger: det her er opgaven. Hvad skal i have for det? Og samfundet er tvunget til at tage det billigste tilbud. Drop kravet om at tage det billigste tilbud. Det giver virksomhederne mulighed for at konkurrere på mere end prisen.

Kjeld Hansen

Som det ser ud i dag, så er der jo ikke enkæft, som har styr på alle de data der efterhånden indsamles og hvordan de anvendes. Helt galt går det så, når disse data med vold og magt skal samkøres til nye data - Så er fanden løs og vi kan slet ikke genkende os selv mere. Det hele ender op i en statistisk forvrængning, som de ansvarlige udtaler sig om "der er sandelig styr på det hele". Det skal disse mennesker jo gøre ikke !!!

- Men sandheden er, at mange af de mennesker, som skal træffe beslutninger om hele den digitale missære bare er middelnådige mennesker, som langt hen af vejen slet ikke kan overskue situationen.

Det har har vi set utallige gange i den ene digitale skandale efter den anden.

- Der venter os en vildtvest agtig digital fremtid.