Hoppa till huvudinnehåll

Konstantins resa till Jamaica inte så privat som han trodde - avslöjades via stort säkerhetshål som också drabbade Tjäreborg

Konstantin Loginov
Konstantin Loginov bor i Oslo i Norge. På den här bilden är han i staden Bergen. Konstantin Loginov porträtt

Uppgifter om åtminstone tusentals resebyråkunder var möjliga att ladda ned på nätet, berättar en programmerare för Svenska Yle. Tjäreborg i Finland omfattas också av buggen som fanns vid dess moderbolag Thomas Cook.

– Det var möjligt att se när någon ska flyga, personens hela namn, och uppgifter om alla personer som är med på resan - till exempel hela familjen.

Det berättar Roy Solberg som är programmerare i Norge och förra månaden råkade upptäcka ett säkerhetshål på resebyrån Thomas Cooks webbplats i Norden.

Solberg har också tidigare varit aktiv i att upptäcka säkerhetshål i olika sammanhang, och har en blogg där han skriver om sådana här fall. Det har blivit en slags hobby för honom.

Också den senaste buggen kommer han att blogga om, i början av nästa vecka.

– Jag anser att det här fallet är mycket olyckligt. Det här är ju inte data som ska vara tillgängliga offentligt. Ringer du till ett flygbolag eller någon som jobbar på en flygplats så skulle de aldrig ge ut sådan här information.

För att testa buggen så bad Solberg sin vän Konstantin Loginov om bokningsnumret till hans senaste Thomas Cook-resa via resebyrån Ving.

Då kunde Solberg direkt se att Loginov hade åkt till Jamaica tillsammans med sin fru ett visst datum år 2016. Uppgifter om deras resa var en av de många som i princip var synliga för vem som helst på nätet, via den aktuella buggen.

Loginov tar själv saken med ro, men säger att många andra kunder säkert inte gör det.

– Inte alla vill att deras uppgifter ska synas för obehöriga. Till exempel om du reser med någon annan än din partner och du inte vill att den personen ska veta det, eller om du annars bara försöker åka i hemlighet någonstans, säger han.

Han påpekar att stora mängder data om vart folk reser lätt skulle kunna missbrukas av både tjuvar och konkurrerande resebyråer - till exempel.

Inte svårt att upptäcka

Solberg uppger att säkerhetshålet var relativt lätt att lägga märke till för en person som kan ens lite om webbutveckling. Med andra ord är han kanske inte den första som lade märke till saken.

– Min uppfattning är också att Thomas Cook rent tekniskt inte kan se om någon har missbrukat datamaterialet.

Bolaget bekräftar för Svenska Yle att de inte vet om buggen har missbrukats, och betonar samtidigt att man tar datasäkerheten på stort allvar och gör regelbundna tester för att upptäcka eventuella problem.

Men just det här problemet hade man ändå inte upptäckt.

Tax free-sajt var den svaga punkten

Problemet, som nu är fixat efter att Solberg kontaktade Thomas Cook, fanns på bolagets sajt Airshoppen där man bland annat kan beställa tax free-varor till flyget, och boka sittplats - till exempel när man åker med resebyrån Tjäreborg.

Solberg berättar att kunduppgifter syntes där oberoende om de hade gjort tax free-inköp eller inte, och skärmdumpar han har visat för Svenska Yle stöder det här.

Skärdumparna visade bland annat namn på alla passagerare i en viss bokning, samt uppgifter om vilka flyg de reser med, alltså när och vart.

Skärmdump
En del av källkoden på sidan där buggen fanns. I det här exemplet var det två personer som hade varit på resa till Grekland. Namnen i bokningen är dolda i den här publicerade bilden, men syntes på själva webbplatsen. Skärmdump Bild: Skärmdump Säkerhetshål,källkod

När Svenska Yle ringer upp Fredrik Henriksson, kommunikationschef på Thomas Cook i norra Europa, hävdar han först att det endast var kunder som hade beställt tax free-varor på nätet som drabbades.

– Man har kunnat se vad en viss person har handlat på sina flighter. Men man har inte på något sätt kunnat komma åt övriga kunders data.

"Thomas Cook ljuger"

Konstantin Loginov konstaterar för sin del att det är klart att bolaget ljuger eftersom han inte hade handlat på Airshoppen men hans uppgifter ändå läckte ut.

– De vill förstås minimera potentiella risker för sitt rykte. Jag förstår varför de säger så. Jag tycker att det är fel. Man borde inte ljuga till en kund.

Genom att ändra lite i adressraden kunde programmeraren Roy Solberg komma åt reseuppgifter endast med hjälp av bokningsnummer.

Och i och med att flera av resebyråerna - till exempel Ving och Tjäreborg - tydligen använder löpande bokningsnummer så kan man alltså få fram följande eller tidigare kunds uppgift genom att bara ändra på en enda siffra, påpekar han.

– Jag bedömer det som ganska allvarligt, bland annat på grund av att säkerhetshålet av allt att döma har existerat länge och det var så mycket data om så många personer, över så lång tid, som man kunde komma åt.

Roy Solberg
Programmeraren Roy Solberg. Roy Solberg porträtt

Solberg såg resor som skedde och ska ske under åren 2013-2019.

Han uppskattar att han lätt kunde ha laddat ned de allra flesta kundernas uppgifter automatiskt, genom att skriva ett enkelt dataprogram för det här ändamålet.

På Thomas Cook förnekar man inte det här, men man anser ändå att det är spekulativt. Bolaget betonar istället att Solberg kom åt enstaka kunders uppgifter.

Roy Solberg säger för sin del att han inte ens hade för avsikt att systematiskt ladda ned kunduppgifter utan att han istället fokuserade på att kolla hurdant problem det handlade om, och på att rapportera saken.

Resebyrån svarade först så här

Fredrik Henriksson på Thomas Cook - hur förklarar du det att programmeraren kunde få fram uppgifter om olika kunder och deras resor genom att ändra bokningsnumret med en enda siffra? Inte är det ju så att varje kund har köpt något på Airshoppen?

– Nej, men det är ju de som har handlat på Airshoppen. Det är där han har lyckats logga in.

Men ert bokningssystem är ju tydligen kopplat till Airshoppen...

– Ja, men i det här fallet handlar det om ganska avancerad kodning. Det handlar inte bara om att byta en siffra i bokningssystemet. Det här är ju en person med hög IT-kompetens som har lyckats genom koder i tillägg till den vanliga inloggningen.

En skärmdump på det meddelande Roy Solberg skickade till Thomas Cook, och som Svenska Yle har tagit del av, visar ändå att Solberg anmälde att man via buggen kunde få tillgång till massvis med kunduppgifter.

Programmeraren Solberg sade till oss att man troligen kunde komma åt en del kunduppgifter via det här säkerhetshålet, och han såg det som mycket allvarligt.

– Naturligtvis tar vi det på största allvar när vi har fått den här informationen. Och vi har täppt säkerhetshålet när vi blev informerade om det för ett par veckor sedan, fortsätter Henriksson.

Thomas Cook ändrade sig

Svenska Yle gav Thomas Cook extra tid att titta på saken och följande dag låter informationschefen Fredrik Henriksson meddela att det faktiskt är så att Airshoppen är integrerad med deras övriga system och att säkerhetshålet inte endast gällde personer som hade använt Airshoppen. Solbergs analys stämmer alltså på den här punkten.

– Det jag sade tidigare var tyvärr baserat på felaktig information vid intervjutillfället. Efter att ha diskuterat just detta ytterligare internt så förstår jag nu att systemen är sammankopplade och, rent tekniskt, har han kunnat få tillgång till några övriga bokningar som han loggat in på och fått obehörig tillgång till, även där kunden inte gjort en order på Airshoppen, säger Henriksson.

Han bekräftar också att de uppgifter som Solberg kunde komma åt var namnen på resenärer, resedatum, destination och e-postadress.

Vad säger det här fallet om er datasäkerhet?

– Vi strävar alltid efter att ha den största rimliga säkerhetsnivån när det gäller att ta sig in på Airshoppen, och datasäkerheten är naturligtvis en av våra största prioriteter, säger Henriksson.

Har ni meddelat om det här till någon myndighet?

– Nej, men vi tog väldigt allvarligt på informationen vi fick och stängde genast detta säkerhetshål. Därefter genomförde vi en riskanalys som visade att detta inte handlade om känslig personlig information: uppgifterna gällde namn, e-postadresser och destination.

Han tillägger att Thomas Cook arbetar medvetet och proaktivt för att undvika personuppgiftsincidenter.

– Och i detta fall arbetade bolaget efter en särskild handlingsplan för att säkerställa att alla ansvariga är informerade. Vi dokumenterar alla personuppgiftsincidenter, även de som inte behöver anmälas till myndigheter.

Samtidigt så medger han att bolaget inte vet hur många som eventuellt har missbrukat säkerhetshålet, och hur många kunder som kan ha drabbats.

– I nuläget har jag ingen sådan information, kommenterar informationschefen Fredrik Henriksson.

GDPR kom med rapporteringsplikt

EU:s dataskyddsförordning (GDPR) som trädde i kraft den 25 maj i år innebär att företag i flera fall måste anmäla om så kallade personuppgitsincidenter, alltså tillfällen då data om personer kan ha läckt ut.

En tillsynsmyndighet måste informeras inom 72 timmar om incidenten “kan äventyra fysiska personers rättigheter och friheter”. I flera fall borde också kunderna meddelas.

GDPR
GDPR Bild: Mostphotos Allmänna dataskyddsförordningen (GDPR),GDPR

– Man måste definiera personuppgiftsincidenter på något sätt och ett sätt är att se om information har läckt till obehöriga. Då har det skett en personuppgiftsincident, kommenterar dataombudsman Reijo Aarnio på en allmän nivå till Svenska Yle.

Bolaget Thomas Cook är beläget i Storbritannien så en eventuell anmälan om buggen borde därmed göras till den brittiska dataskyddsmyndigheten ICO.

Svenska Yle frågade ICO om det här fallet. Myndigheten verkade inte ha hört talas om incidenten men en talesperson där kommenterade att saken väcker en viss oro hos myndigheten och att den kommer att följa upp saken.

Uppdatering 6.7.2018 kl. 12.11: Nyheten förkortades lite. Ett par äldre svar av Thomas Cook togs bort för att öka tydligheten ytterligare.

Läs också

virtuell verklighet + datorer + bredbandsnät + mobiltelefoner + internet + sociala nätverk + lösenord + databrott + teknik (apparater) + kommunikationsteknik + databaser + datakommunikation + pekskärm + telefoner + sökmotorer + datasekretess + e-postadresser