Klokken 01:59 den 13. januar ankom en 5 kilo tung forsendelse fra importøren Schou Våpen til Postnords terminal i Larvik. Der ligger den i skrivende stund og venter på utkjøring i Sandefjord innen klokken 16:00 tirsdag, viser deres pakkesporingssystemer.
I samme system kan hvem som helst hente ut navnene og signaturene på de som har rett til å signere for pakker hos Postnords kunder.
- Det er litt skremmende at hvem som helst kan gå inn slik, sier logistikksjef i Schou, Torbjørn Edseth.
Han blir overrasket når DN kan lramse opp navnene på deres kunder, og når de har mottatt pakker. Han frykter dette kan føre til at varer kommer på avveie, noe han understreker aldri har skjedd så langt.
- Det er viktig når du tenker på hva vi driver med, sier han.
I disse terrortider
It-avisen Computerworld omtalte fredag hvordan man kan finne andres pakker og underskrifter i Postnords system, ved å søke på stjernetegnet (*). Avisen fikk da forsikringer om at dette var en feil som ble fikset allerede samme dag. DN hadde imidlertid full tilgang tirsdag.
- Jeg trodde at den tekniske feilen var rettet. Det er ikke akseptabelt dersom informasjon knyttet til kunder ligger åpent tilgjengelig, sier Ole A. Hagen, kommunikasjonsdirektør i Postnord i en epost til Dagens Næringsliv.
Han sier det er viktig for deres kunder og kundenes kunder å kunne spore pakker, men understreker at denne informasjonen ikke må kunne hentes ut av andre. Det gjelder ikke minst våpenleveranser.
- I disse terrortider er det ikke bra om informasjon våpen ligger tilgjengelig for tredjepart, sier han.
Utleverer kundelisten
I tillegg til åpne søk viser DNs undersøkelser at Postnord i praksis åpner opp for full oversikt over hva kundene deres sender av pakker. Sendingsnumrene fra Scou følger nemlig etter hverandre. Og vi kunne enkelt finne ut hvor det skulle leveres ut våpen i nær fremtid ved å prøve oss frem til det siste sendingsnummeret som var tatt i bruk.
Vi kunne tilsynelatende også enkelt ha satt opp en datamaskin til å hente ut pakkeinformasjon og kundesignaturer fra rundt 3600 forsendelser fra Schou til kunder, mellom oktober 2012 og januar 2015.
- Det er kanskje ikke så bra hvis konkurrentene kan få full oversikt over deres kunder og hvor mye dere sender dem?
- Ikke opplys om det da, så konkurrentene røsker tak i alle kundene våre, sier Edseth i Schou.
To problemer
- Vi er ikke imponert, sier Helge Veum, avdelingsdirektør for tilsyn og sikkerhet i Datatilsynet.
Han påpeker at signaturer er i utganngspunktet ikke noe hemmelig, men at det er ikke heldig hvis de kan høstes inn i stor stil på denne måten. Han påpeker at dette kan være viktig informasjon hvis noen ønsker å lage falske id-papirer.
Han mener saken både har en sikkerhetsside og en personvernside.
- Uvedkommende skal ikke vite hva du har kjøpt eller fra hvem. Og hvem du kjøper fra kan ofte si noe om hva du har kjøpt, sier han.
Han mener pakkesporing via sendingsnummer kan være akseptabelt, men at informasjonen da bør strupes ned til et minimum. For tilgang til kvitteringer og signaturer bør man kreve innlogging, mener han.
Alvorlig
Hagen i Postnord sier verken kvittering eller leveringsinformasjon bør ligge tilgjengelig for uvedkommende.
-Vi prioriterer dette veldig høyt. Det berører hele virksomheten og må løses nå, sier Hagen.
Hva tenker du om at noen kan hente ut hele kundelister?
- Det er generelt konfidensialitet i kundeforhold, og usedvanlig viktig å lukke det vi kaller avvik, sier han.
Noen timer senere er lenken til signaturen fjernet fra pakkesporingssøket, men DN klarer fremdeles enkelt å hente ut signaturer og mottakerinformasjon uten å være logget inn. Den antatte våpenforsendelsen til Sandefjord vises som levert, og vi får tilgang til signaturen. Postnord lover å jobbe videre med saken.
Oppdatering: Etter en ny forklaring av metoden fra DN onsdag morgen ser det nå ut som om tilgangen til kundesignaturer er sperret. Hagen forsikrer at det ikke lenger er mulig å få tilgang til sensitiv informasjon uten innlogging.
Les også:
Telenor bekymret for svensk etterforskning
Innovasjon Norge tror på godt turistår i Norge (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.