Norsk mobilapp åpnet for tapping av informasjon


Tidligere denne uken skrev digi.no om Tryg forsikring sin mobilapp "trygg på reise". I denne appen kunne brukeren enkelt få opplysninger om sine egne og andres kjøretøyer, bare ved å taste inn registreringsnummeret.

Digi.no skrev i sin artikkel til at Infotorg er en samling tjenester fra Evry hvor man som kunde blant annet kan gjøre oppslag i en rekke registre, inkludert Det sentrale motorvognregisteret. Motorvognregisteret inneholder ikke bare data om selve kjøretøyet, men også om eieren og eventuelle medeiere. Blant annet er bostedsadressen og fødselsnummeret inkludert. I utgangspunktet må man være en registrert kunde for å kunne bruke Infotorg-tjenestene. Dessuten må man betale for oppslagene. Men i noen tilfeller blir tjenestene videreformidlet av andre leverandører, slik at de med noen begrensning kan brukes ganske fritt av alle.

Et slikt sted som man her omtaler var frem til for en drøy forrige uke appen ”Trygg på reise” fra Tryg forsikring. I denne appen kunne brukeren enkelt få opplysninger om sine egne og andres kjøretøyer, bare ved å taste inn registreringsnummeret. Brukerne fikk også opp navnet på eieren. Appen til Tryg forsikring kommuniserer direkte med kjøretøyregisteret hos Infotorg, og filtreringen av dataene som vises, skjer tydeligvis i appen og ikke av den SOAP-baserte (Simple Object Access Protocol) webtjenesten som appen benytter skriver digi.no

Tjenesten tilbyr langt flere og mer følsomme personopplysninger enn navnet på bileieren. Disse dataene har uvedkommende kunnet få tak gjennom en svakhet i hvordan appen til Tryg forsikring henter dataene opplyser digi.no

Hvordan kan dette gå for seg: Les hele artikkelen fra digi.no her…

Kommunikasjonssjef i Tryg forsikring, Ole Irgens, fortalte til Bergen Tidene 19. august at tjenesten deres ikke vil være tilgjengelig igjen før overskuddsinformasjonen er fjernet. “Vi synes det er bra at vi er gjort oppmerksom på dette, men det er selvsagt beklagelig at appen har vært konstruert slik at det har vært mulig å hente ut denne informasjonen, sier han”.

NorSIS ser alvorlig på slike hendelser, og at denne typen informasjon kan komme på avveie. Dette er informasjon som kan benyttes til ID-tyveri. Eksempelvis personnummeret benyttes i dag ofte til både identifisering og autentisering. Det blir altså slik at det å oppgi personnummeret til en person viser at du er du og at du faktisk er rette du. Dette gjør ditt personnummer ekstra utsatt og attraktivt for de som ønsker å svindle nettbutikker i andres navn, eller eksempelvis å ta opp telefonabonnement i en annens identitet. Det er beklagelig at denne saken slik den er omtalt, ikke har blitt håndtert tidligere. Vi i NorSIS, mener dog ikke det er grunn til panikk og redsel for at du har blitt eller skal bli utsatt for ID-tyveri. Vi mener det viktigste er at virksomheter generelt tar lærdom av slike hendelser, og at befolkningen blir oppmerksomme til de faresignalene som man må være oppmerksom på knyttet til ID-tyveri.

På Nettvett.no kan du lese om hvordan du best forebygger identitetstyveri og hva du må gjøre dersom du har blitt utsatt for denne typen kriminalitet.

Vær våken for signaler som tyder på at du er utsatt for ID-tyveri. Det er viktig å oppdage ID-tyveri så raskt som mulig for å begrense skaden.

  • Du mottar regninger for produkter du selv ikke har bestilt
  • Faktura for kredittkort inneholder ukjente transaksjoner
  • Du mottar bekreftelse på kreditt eller kredittramme uten å ha spurt om det
  • Du mottar varsel om adresseendring
  • Du mottar telefon eller brev om kjøp du ikke har gjennomført
  • Du mottar gjenpartsbrev etter kredittsjekk uten selv å ha initiert det
  • Kontroller nøye hvis du får adressert post du ikke forstår grunnlaget for, for eksempel en faktura, et avtaleforslag, etc.
  • Kontroller kontoutskrifter fra dine bankkonti, og si fra til banken om det er ukjente transaksjoner

Kilder:

digi.no – Norsk mobilapp åpnet for tapping av masse informasjon om norske bileiere

BT.no – Norsk mobilapp åpnet for å hente ut personlig informasjon om brukerne

Nettvett.no – Identitetstyveri