Som NRK avslørte søndag kunne hvem som helst få tilgang til sensitiv informasjon som blant annet fødselsnumre fra Brønnøysundregistrene.
Nå viser det seg at saken omfatter hundrevis av firmaer, og at tusenvis av sensitive dokumenter ligger åpent på internett.
– Dette er en alvorlig sak, for vi ser at mye data har kommet på avveie, sier direktør i Datatilsynet Bjørn Erik Thon.
Årsaken til sikkerhetshullet er ifølge NSM at Microsoft oppdaterte sine søkemotorer, fortrinnsvis Bing, slik at hver gang de åpner en skjult, «privat» nettadresse, som en faktura, kvittering eller andre sensitive dokumenter i internett Explorer, så lagrer Microsoft informasjonen og gjør den søkbar.
Da kan hvem som helst se informasjonen.
– Dette gjelder ikke bare i Norge, men i hele verden, sier i Hans Christian Pretorius, avdelingsleder i NSM.
- Les også:
Ikke lenger tilgjengelig
Microsoft har nå laget et verktøy som gjør at hvert enkelt firma kan slette informasjonen som ligger ute, men Nasjonal sikkerhetsmyndighet (NSM) reagerer på at Microsoft ikke har varslet hva de skulle gjøre på forhånd.
– Vi anslår at denne informasjonen har ligget åpent ute i cirka to måneder.
Flere av de rammede norske virksomhetene har nå sørget for at de personsensitive opplysningene ikke lenger er tilgjengelig etter at NRK eller andre gjorde dem oppmerksomme på sikkerhetsfeilen.
GJELDER I HELE VERDEN: Hans Christian Pretorius i NSM sier han hadde forventet at Microsoft hadde varslet en slik endring.
Foto: Eirin Aardal/NRKVil granske Microsoft
Datatilsynet vil nå granske Microsoft, og mener det er åpenbart at tech-selskapet har et ansvar for sikkerhetshullet.
– Alt tyder på at Microsoft har en rolle i det som har skjedd her, fordi disse dataene kan stort sett søkes opp på Microsofts søkemotor, sier Thon.
Han understreker alvorligheten i saken, da mye sensitive opplysninger har kommet på avveie.
BJØRN ERIK THON: Direktør i Datatilsynet.
Foto: Åserud, Lise / NTB scanpix– Her ligger kundenummer, fakturadato, fakturanummer, og ordrenummer. Det finnes jo mer sensitive opplysninger, men dette er åpenbart noe som ikke skal ligge på nettet, sier han.
Sikkerhetshull kan forekomme
På søndag avviste derimot Microsoft at de hadde noe ansvar for at denne informasjonen ligger ute.
– En søkemotor viser det som er tilgjengelig på internett. Det skannes ingen e-poster og det er data-eier som må beskytte dataen med tanke på den sensitiviteten det har, sa sikkerhetsansvarlig i Microsoft, Ole Tom Seierstad da.
De vil heller ikke svare på NRKs spørsmål fredag, men skriver i en e-post at slike sikkerhetshull kan forekomme.
«Fra tid til annen kan åpne internettsider inneholde sensitive opplysninger som ikke er tilstrekkelig sikret, og dermed kan dette innholdet utilsiktet bli indeksert av ulike søkemotorer. På våre nettsider har vi publisert en veiledning som forteller hvordan dette kan unngås og hvordan innhold som allerede er indeksert kan fjernes», sier Vibeke Hansen, kommunikasjonsdirektør i Microsoft Norge.
