- Hvis du var bare en smule smart, kunne du sagtens gå ind og kigge på andres betalinger. Det talte vi internt om - at det var da meget sjovt, man kunne det, og man sagde til en kollega at ’det her skal du lige se’.
Sådan lyder det nu fra en tidligere ansat i firmaet Aditro, som betalingsservicefirmaet Nets har købt kundeservice-ydelser hos. Medarbejdere i Aditro kunne, ligesom Nets' egne ansatte, slå betalingsoplysninger op og på den måde følge med i for eksempel kendte og kongeliges privatliv.
Det skriver Version2.dk.
Siden BT afslørede, at ugebladet Se og Hør i en perioden på cirka fire år har betalt en it-mand for at levere fortrolige oplysninger om kendte og kongeliges brug af kreditkort, er debatten om sikkerheden i Nets eksploderet. Se og Hørs kilde havde via sit arbejde for IBM, der er Nets-underleverandør, adgang til de fortrolige oplysninger og fodrede løbende Se og Hørs journalister, der på den måde var i stand til for eksempel at skrive detaljeret om kendte og kongeliges rejser og forbrug.
Den tidligere ansat, der udtaler sig anonymt til Version2.dk, stoppede i Aditro i 2008. Siden har firmaet lukket ned for call center-ydelsen i Danmark. Ifølge kilden krævede det ikke særlige oplysninger som for eksempel et CPR-nummer eller kontonummer, for at man kunne snage i andres private forhold.
- Systemet, vi brugte, var kompliceret, men gav adgang ad flere veje, uden beskyttelse. Hvis du var bare en smule smart, kunne du sagtens gå ind og kigge på andres betalinger. Det talte vi internt om - at det var da meget sjovt, man kunne det, og man sagde til en kollega at ’det her skal du lige se’. Man kunne rekonstruere en hel weekend ved at se, hvad folk havde brugt deres penge på, sider den tidligere ansatte til Version2.dk.
Version2.dk kunne fredag i sidste uge fortælle, at kundeservice-medarbejdere i Nets har mulighed for at slå 'alverdens personers betalingsoplysninger op'. En tidligere Nets-ansats oplevelse er, at misbrug af den betroede adgang var udbredt, for eksempel på en stille aftenvagt, hvor det blev en form for tidsfordriv.
Nu fortæller den tidligere Aditro-ansatte, at adgangen til de fortrolige oplysninger var den samme, som hvis man var ansat i Nets. Det undrede den Aditro-ansatte, at man gav eksterne adgang.
- Det, der alarmerede mig mest, var, at det var uden for PBS’ indflydelse og kontrol. Vi blev ansat af Aditro, og PBS-folkene var der kun for at lære nye ansatte op. Nogle af mine kolleger sagde direkte til PBS-folkene, at sikkerheden var alt for dårlig, men det blev bare fejet væk, og der skete ikke noget, siger kilden der fortsætter:
- Man havde også mulighed for at arbejde hjemme, hvis man havde mod på at sætte en VPN-forbindelse op, og kunne således slå alverdens personer op, uden at misgerningerne blev opdaget. Men det var ikke nødvendigt at gemme sig derhjemme, siger kilden, for det var nemt nok at gøre ubemærket i callcentret også.
Kilden oplyser viderede til Version2.dk, at 'ingen gik rundt og kiggede dig over skulderen'.
Nets skriver i en kommentar, at samme regler gjaldt for disse eksterne kundeservicemedarbejdere som for Nets' egne ansatte i kundeservice. Desuden var det kun i en kortere periode, at Nets - dengang PBS - havde outsourcet opgaver til Aditro, skriver Version2.dk.
Nets står for administrationen af bl.a. Nem-ID, e-Boks og alle kreditkorttransaktioner
I en pressemeddelelse udsendt mandag skriver Nets, at selskabet har 'igangsat en omfattende undersøgelse af sagen, og selvom undersøgelsen ikke er færdiggjort, kan vi konstatere adfærdsmønstre, som underbygger, at der kan være sket et misbrug. Dette misbrug har i givet fald fundet sted ved, at den pågældende medarbejder har misbrugt sin legitime adgang til kortdata i Nets’ systemer til at finde oplysninger, som herefter er videregivet ulovligt til Se og Hør. Denne information har vi overdraget til myndighederne og politiet til brug for den videre efterforskning.'
Nets oplyser videre, at man 'forstærker de kontrolfunktioner, som skal sikre, at medarbejdere, som har adgang til fortrolige data, ikke misbruger denne adgang.'
- Vi er chokerede over, at der er sket et sådant misbrug af fortrolige kreditkortinformationer. Det må ikke ske. Vores undersøgelse tyder på, at det er en kriminel handling foretaget af en betroet medarbejder hos IBM, siger Susanne Brønnum, landechef for Nets, i pressemeddelelsen.
Mandag kunne DR fortælle, at Finanstilsynet, der skal føre tilsyn med, at oplysninger om kendtes og almindelige danskeres dankortbrug ikke havner hos uvedkommende - eksempelvis journalister på Se og Hør - ikke har været på såkaldt it-sikkerhedsinspektion hos Nets i årevis.
Finanstilsynet vil ikke oplyse, hvornår man sidste gang var på it-inspektion hos Nets og IBM, men oplyser, at man ikke har været der de seneste fire år, siden inspektionsredegørelserne blev gjort offentlige i 2010, oplyser DR.
