blod2
blod2

Blodgiverside hacket: Fikk adgang til 125.000 personnummere

Nettsiden Giblod.no, der blodgivere kan registrere seg, har hatt et sikkerhetshull der personopplysninger lå lett tilgjengelig for uvedkommende.

Denne artikkelen er over ett år gammel, og kan inneholde utdatert informasjon.

TV 2 har fått demonstrert hvordan både personnummer, mailadresse, blodtype og annen informasjon raskt kan hentes ut fra siden. Mer enn 125.000 blodgivere er registret i databasen som ligger bak.

For å registrere deg på nettsiden GiBlod.no må du blant annet oppgi navn, adresse, telefonnummer og personnummer. Disse opplysningene lagres i en database.

Enkel metode

TV 2 har møtt en 25 år gammel mann som til daglig jobber som data-programmerer. Han viser oss hvordan han, ved hjelp av en vanlig PC med en nettleser, raskt kan få tilgang til personopplysninger fra blodgiver-registeret.

Gjennom adressefeltet i nettleseren klarer han raskt å logge seg på som administrator av databasen, og derfra er veien kort til informasjon om mer enn 100.000 registrerte blodgivere, inkludert deres personnummer, epost-adresse, blodtype, arbeidsgiver og flere andre personlige opplysninger.

25-åringen ønsker å være anonym, men sier at han gjør dette for å sette fokus på manglende datasikkerhet. Mannen vi møter jobber selv med IT, men forteller at metoden han bruker er så enkel at tenåringer med litt datainteresse kan gjøre det samme.

Han mener dette bare er ett eksempel på sikkerhetshull på norske nettsteder, noe som gjør at han er bekymret for sikkerheten til brukerne av flere andre nettsider, og oppfordrer til å ta datasikkerhet på alvor.

Stengte nettsiden

Norges Røde Kors har ansvaret for nettstedet GiBlod.no og ble gjort oppmerksom på sikkehetssvikten av TV 2.

– Vi ser svært alvorlig på denne saken og vi stengte derfor siden umiddelbart da vi ble varslet om dette, sier kommunikasjons- og markedsdirektør Øistein Mjærum i Norges Røde Kors.

Røde Kors lover nå en full gjennomgang av sikkerheten på GiBlod.no

– Vi kommer ikke til å åpne denne siden før vi er helt sikker på at det ikke finnes flere sikkerhetshull, sier Mjærum.

Datatilsynet reagerer

Også Datatilsynet ser alvorlig på at personopplysninger om tusenvis av blodgivere kan ha vært tilgjengelig for uvedkommende:

– Det er alvorlig, sier direktør Bjørn Erik Thon.

– Det er snakk om at folk har kunnet gå inn å se hvem som er blodgivere og fødselsnummeret deres. Og det er et stort antall personer som dette har rammet, sier han.

Navn og personnummer på avveie kan brukes til Identitetstyveri.

– Skal man ha slike systemer, der man for eksempel kan melde seg online som blodgiver eller andre ting, må man være ekstra påpasselig med sikkkerheten slik at folk ikke kommer seg inn i de bakenforliggende databasene, sier Thon.

– Skremmende

Blodgiver Stein Tvedt har gitt blod i ti år, men var ikke klar over at hans personopplysninger kan ha vært lett tilgjengelig for uvedkommende på grunn av et sikkerhetshull.

– Det er litt skremmende at sånne saker hele tiden kommer opp, der personnummer er på avveie eller lett tilgjengelig. Jeg ser jo det at mange firma etterspør fullt personnummer mens mange burde klart seg med fødselsnummer og navn, slik at personnummere ble bedre beskyttet.

Da TV 2 forteller ham om sikkerhetshullet på Giblod.no sier han at håper dette ikke vil skremme blodgivere fra å gi blod.

– Jeg synes blodgiving er for viktig til at dette skal stoppe oss fra å gi blod. Nå har jo de ansvarlige tatt det til etterretning og stengt siden. Da vil jo kanskje andre også tenke seg om og verne informasjonen bedre.