nrk.no

Sparkesykkel-appen VOI lagret persondata om nordmenn åpent på nettet

Kategorier: Mobilitet & Sikkerhet

Tre elektriske sparkesykler står oppstillt et sted i Oslo, og det er snø på bakken.
VOI begynte å sette ut sparkesykler i Oslo i starten av mars. Foto: Ståle Grut / NRKbeta

Data om 460 000 brukere skal ha vært åpent tilgjengelig på nett, ifølge tyske Bayerischer Rundfunk (BR).

De siste ukene har det svenske firmaet VOI begynt å sette ut sine elektriske sparkesykler i Oslo sentrum. Ved hjelp av en app kan man låse opp sparkesyklene og bruke dem i Oslo, og det er ventet at hele 11 aktører vil etablere seg med elektriske sparkesykler i Oslo.

Persondata uten passord eller annen beskyttelse

Det var datajournalister i den tyske kringkasteren som fant fram til brukerdata fra VOI som lå åpent på nettet.

Uten passordbeskyttelse eller andre sikkerhetstiltak fant de persondata som navn, e-postadresser og mobiltelefonnumre. Journalist Robert Schoeffel antyder til NRKbeta at BR totalt kunne fått tak i data om 460 000 brukere.

– Vi lokaliserte et ubeskyttet API i kildekoden på VOIs nettside for å administrere flåten med scootere (https://fml.voiapp.io/login), som hentet data fra en server drevet av Google, forteller Schoeffel til NRKbeta.

I kildekoden på denne siden med tittelen «fleet management» ble det åpne APIet lokalisert av BR. Skjermbilde: NRKbeta/VOI

API-er er mye brukt i digitale løsninger, og de gjør det mulig for et datasystem å be et annet om å gjøre en oppgave. Etter at BR varslet VOI om dette er tilgangen til APIet ikke lenger åpent tilgjengelig.

BR lastet ned en prøve med informasjonen fra 1000 brukere i februar, og det er blant disse dataene det fins informasjon om minst fire nordmenn. Dette er før VOIs sparkesykler dukket opp i Oslos gater.

– Tjenester glemmer å tenke sikkerhet

NRKbeta har snakket med en av dem, Alexander Dreyer Johnsen, som registrerte seg hos VOI i februar.

– Jeg tester ofte nye tjenester tidlig, noen ganger litt for tidlig, sier Dreyer Johnsen til NRKbeta.

– Jeg erfarer dessverre at nye tjenester glemmer å tenke sikkerhet, og heller tar tak i det når feil oppdages.

Dreyer Johnsen er derfor forsiktig med å dele annet enn offentlig tilgjengelig informasjon på slike tjenester.

– Jeg vil nok prøve VOI for å se hvordan det fungerer, men er skeptisk om de begynner å dele bevegelsesmønster, passord og kortdata, sier Dreyer Johnsen.

Skjermbilde av mobilskjerm med et kart over Oslo. En sone er markert rundt Oslo sentrum og mange små sparkesykkel-ikoner er strødd utover kartet.
En rekke elektriske sparkesykler er tilgjengelig gjennom VOIs app. Skjermbilde fra VOIs app.

– Nok et eksempel på manglende beskyttelse

Fagdirektør for digitale tjenester hos Forbrukerrådet, Gro Mette Moen, sier på generelt grunnlag at de ser for mange eksempler på at personvern og sikkerhet ikke er ivaretatt når produkter kobles til nettet.

Smilende person med briller i kontorlandskap
Gro Mette Moen er fungerende fagdirektør for digitale tjenester i Forbrukerrådet. Foto: Forbrukerrådet

– I andre typer produkter koblet på nett som smarte leker og GPS-klokker for barn, virker det som mange aktører har hatt det travelt, og ikke tenkt på de nødvendige sikkerhetsfunksjonene, sier Moen som henviser til en fersk rapport fra Forbrukerrådet hvor de har funnet at tre av fire nordmenn er bekymret for sikkerheten i smarte produkter som er koblet til nettet.

— Dette er signaler bransjen må ta på alvor, og spesielt aktørene som ikke har disse tiltakene på plass. At enkelt-aktører ikke har sørget for at alt er i orden når det gjelder sikkerhet og personvern går ut over ryktet til hele bransjen.

– Dette er noe forbrukerne vanskelig kan sjekke selv. Selv om man kan ta forhåndsregler, som å unngå standardpassord og installere sikkerhetsoppdateringer, er man langt på vei prisgitt at leverandøren tar sikkerhet på alvor.

Dette svarer VOI

I en e-post til SVT Nyheter bestrider VOIs pressesjef Caroline Hjelm at info om 460 000 brukere lå ute på nett, og skriver at det deres interne granskning har avdekket at det dreier seg om info om rundt 100 000 brukere.

Sparkesykkel fra Voi står på bakken hvor det er mye grus
En av VOIs sparkesykler i Oslo i dag Foto: Ståle Grut

– Selv om vi ikke går god for BRs metoder, er vi glade for at deres handlinger ga oss muligheten til å adressere potensielle problemer for brukerne våre før de oppstod, skriver VOIs Kristina Nilsson i en e-post til NRKbeta.

Hun understreker at all kredittkortinformasjon har vært lagret separat hos betalingsløsningen Stripe.

– Vi tar datasikkerheten til våre brukere svært alvorlig. I tråd med EUs personvernforordning har vi informert våre brukere om hendelsen og tatt grep for å sikre at dette ikke skjer igjen i framtiden. Vi har også igangsatt en ekstern gjennomgang av våre sikkerhetsrutiner for å beskytte oss mot faktiske angrep i framtiden. Utover varselet fra BR har vi sjekket for å bekrefte at ingen andre organisasjoner har fått tak i brukerdata på denne måten, skriver Nilsson.

Har du registrert deg hos et selskap som leier ut elektriske sparkesykler?

6 kommentarer

  1. Det tekniske rundt syklene er vi ikke så opptatt av,men jeg og min samboer er veldig glad i å «gå» lange turer. I dag gikk vi fra Frognerkilen til Jernbanetorget langs sjøsiden. På den turen observerte vi tre utleiesykler bare henslengt helt tilfeldig. En midt på Rådhusplassen, de to andre var hensatt midt på fortauet ved Københavnbåten. Hvis det er slik det kommer til å ble med flere aktører på banen, blir jeg bekymret. De som leier ut slike sykler må jo ha ett system på hvor disse syklene kan etterlates. Hvis ikke kommer dette til å skape mye frustrasjon for oss, som liker å spasere.

    Svar på denne kommentaren

  2. Og den naive hyllesten av mikromobilitet nå? Samme historien som med Facebook? Fra utilslørt tilbedelse til litt lett og forsiktig kritikk mår det visste seg at man hadde veiledet mann i gata på feil vei? Det er på tide dere slutter å forveksle ønskedrøm med fakta. Prøv litt ihverfall!

    Svar på denne kommentaren

  3. >Vi tar datasikkerheten til våre brukere svært alvorlig.

    HA. HA. HA… Hvor mange ganger har jeg lest den før… Tydeligvis ikke nok til å tenke på det FØR man begynner med brukerdata…

    Svar på denne kommentaren

  4. Det er jo håpløst at firmaet ikke tenker sikkerhet, og like ille at dette vil øke forsøplingen. Har vært i andre europeiske byer, og dette er ikke forskjønnende. Det burde være noen få aktører med tydelige krav (som Oslo bysykkel). Dette bør ikke være uregulert. Skjønner heller ikke hvordan de skal få ladingen til å gå rundt, det er jo ikke så miljøvennlig å ha biler som jakter på syklene. Hva er holdbarheten og hvordan vedlikeholdes de ?

    Svar på denne kommentaren

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Hva heter det svenske firmaet som har elektriske sparkesykler i Oslo?

Hvor mange norske kontoer fant NRKbeta i BRs data?

Hvordan fikk BR tilgang til VOIs data?

Legg igjen en kommentar til Jesper Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.