Aftenposten publiserte kundeopplysninger åpent på nett

---

Data fra en rekke norske bedrifter er publisert offentlig via appen Trello.

Trello er en populær app for prosessplanlegging og -gjennomføring. Den gir brukere muligheten til å lage ulike oppføringer som kan flyttes rundt på et «brett». Slik kan en både organisere og delegere gjøremål i en bedrift eller gruppe.

Om en ønsker å dele et Trello-brett med noen som ikke har en Trello-konto, er den eneste muligheten å gjøre brettet offentlig synlig. Det betyr at hvem som helst kan få tilgang. Også søkemotorer som Google.

NRKbeta har funnet en rekke eksempler på at fullt navn og kontaktinformasjon om en virksomhets kunder, potensielle samarbeidspartnere og strategiske notater ligger helt åpent på Trello.

Også lenker til dokumenter og filer som ligger andre steder på nettet deles via Trello. Ofte skal slike dokumenter kun være tilgjengelig for de med en en unik lenke. Via Trello, blir de tilgjengelig for alle.

Meldinger fra Aftenpostens kunder lå åpent

NRKbetas undersøkelser viser at Aftenposten står bak den største og mest systematiske delingen av personinformasjon via Trello i Norge.

Fullt navn, e-post-adresse og henvendelsen til minst 585 kunder lå åpent på et Trello-brett administrert av ansatte i Aftenposten, morselskapet Schibsted og øvrige samarbeidspartnere. Brettet inneholdt over 800 henvendelser totalt. Brettet ble opprettet i april 2018 og ble sist oppdatert 18. januar i år.

Etter at NRKbeta kontaktet direktør for personvern i Schibsted, Ingvild Standal Næss, ble Trello-brettet satt som privat og er ikke tilgjengelig for utenforstående.

«Ved en glipp er innstillingen endret til ‘public’. Det er årsaken og noe vi ser svært alvorlig på. Nå har vi fulgt opp sånn at innstillingen står på privat, og vi følger opp våre rutiner framover for å sørge for at tilsvarende ikke skal skje igjen» sier Næss til NRKbeta.

Det dreier seg om henvendelser fra brukere av Aftenpostens Android-app, som ser ut til å ha blitt sendt direkte til det åpne Trello-brettet. Også et brett for Aftenpostens iOS-app var åpent tilgjengelig, men inneholdt langt mindre informasjon.

«Det er egentlig ganske begrenset, for det gjelder kun Android og kun en gammel versjon av Aftenposten-appen. Sånn sett er det et begrenset ‘scope’, men likefullt noe vi ser alvorlig på, som vi nå har tatt grep for å rette opp og vil følge opp rutinene framover», sier Næss.

Datatilsynet: «Kan være lovbrudd»

Tobias Judin er seksjonssjef i Datatilsynet og sier på generelt grunnlag at alle bedrifter har plikt etter GDPR til å beskytte personopplysningene sine.

«Dersom opplysningene blir gjort tilgjengelig for uvedkommende, kan det være et alvorlig lovbrudd. Dessuten er det ødeleggende for tilliten til bedriften. Hvem vil dele dataene sine med virksomheter som ikke tar vare på dem?» skriver Judin til NRKbeta.

«Bedrifter skal ha full oversikt over hvilke verktøy de bruker og sørge for gode rutiner og opplæring av medarbeiderne sine. Ryggmargrefleksen skal være å ikke dele eller offentliggjøre personopplysninger, med mindre man er sikker på at det er greit og hva det innebærer.»

I 2018 ble dataene til 8500 kunder av Aftenposten og Bergens Tidende lekket via et angrep på appen Typeform som ble brukt til å gjennomføre spørreundersøkelser.

Utenriksdepartementet: Deler ikke sensitiv info

NRKbeta har funnet planleggingsdokumenter fra kommunikasjonsavdelingene i Utenriksdepartementet og et norsk universitet, men også interne arbeidsplaner for en rekke norske selskap av ulik størrelse.

Seniorrådgiver i Utenriksdepartementet Therese Saur sier at deres kommunikasjonsenhet bruker Trello for å praktisk og enkelt kunne dele stoff med alle utenriksstasjonene.

«Vi har rutiner for å ikke dele informasjon av sensitiv art eller stoff med sperrefrist i trellotavlene. Dette både fordi dataene er søkbare i Google og fordi Trello er en tredjepartsløsning som UD ikke eier», skriver Saur til NRKbeta.

Var hensikten at disse tre brettene skulle ligge åpent tilgjengelig?

«Hensikten er først og fremst å gjøre brettene tilgjengelig for stasjonene og eventuelle andre samarbeidspartnere. Samtidig har vi vært klar over at brettene også er søkbare for andre. Dette har vi vurdert som helt ok siden stoffet uansett stort sett skal ut i sosiale medier.»

Detaljerte rapporter om 900 ansatte

I slutten av januar ble data om 900 ansatte i det britiske selskapet Regus publisert åpent på Trello ved en feiltagelse. Detaljert info og evalueringen av ansattes arbeidsinnsats ble funnet av avisen The Telegraph ved enkle søk.

Craig Jones er sikkerhetsdirektør i det britiske IT-sikkerhetsfirmaet Sophos og har siden 2018 funnet store mengder passord og personlig informasjon på Trello fra små og store bedrifter over hele verden. Fenomenet med søkbare Trello-brett ble omtalt av blant annet Digi i 2018.

«Jeg skjønte at når du lager et brett, så kan du svært enkelt velge å gjøre det offentlig – og det var ikke veldig tydelig at det var offentlig, sier Jones til teknologimagasinet Wired.

«For meg oppveies enhver fordel ved å indeksere et Trello-brett med risikoen for at data blir offentlig tilgjengelig», sier Jones på Sophos’ blogg.

«Selv om alle burde ta ansvar for å holde Trello-brett private, skulle jeg gjerne sett at Google og andre ikke gjør dem søkbare i utgangspunktet».

Trello: «Ta kontakt»

Trello oppfordrer alle som finner offentlige brett med innhold som antas å være sensitivt til å ta kontakt med dem.

«Trello-brett er i utgangspunktet private, og må manuelt endres til offentlig av brukeren. Vi jobber for å sikre at offentlige brett lages med hensikt, og har innebygde sikringstiltak for å bekrefte brukerens intensjon før et brett blir offentlig synlig. I tillegg er brettets synlighet hele tiden tydelig indikert øverst på hvert enkelt brett», sier Trellos medgrunnlegger Michael Pryor i en uttalelse sendt via pressekontakt Tammy Lam.

Ingvild Næss i Schibsted sier at de vil varsle både Datatilsynet og de berørte brukerne.