8500 Schibsted-kunder berørt av datalekkasje

Brukere av Aftenposten og Bergens Tidende har fått informasjon lekket i det Schibsted omtaler som et hackerangrep mot tredjepartsløsningen Typeform.

Publisert:
Eirik Husøy

27. juni ble brukerdata lekket fra det spanske selskapet Typeform. De leverer blant annet et verktøy for brukerundersøkelser på nett.

Mange store selskaper verden rundt er rammet av datalekkasjen. Ett av disse er Schibsted. De ble varslet 2. juli. Aftenposten og Bergens Tidende er eid av Schibsted.

Totalt har 8500 Schibsted-brukere fått informasjon lekket – rundt 3000 Aftenposten-brukere og rundt 5500 Bergens Tidende-brukere. De som er rammet har fått en egen e-post om dette.

Schibsted beklager

Kommunikasjonsdirektør Camilla Kielland beklager for at informasjon er blitt lekket i det hun omtaler som et hackerangrep.

– Det er selvsagt beklagelig, og selv om det er via en tredjepartsløsning datalekkasjen har skjedd, så har vi ansvar for brukernes data. Men det som er viktig å presisere fra vår side, er at det heldigvis ikke er snakk om sensitive data, sier Kielland.

Det betyr at for eksempel passord eller betalingsinformasjon ikke er på avveie.

«Derimot er det snakk om informasjon som navn, e-postadresse og demografiske variabler som kjønn, alderssegment, landsdel, utdanningsnivå og husholdningsinntekt – i kombinasjon med de svarene du avga i brukerundersøkelsen», skriver Schibsteds personverndirektør Ingvild Næss i en e-post som har gått ut til en rekke Aftenposten-brukere.

De berørte kundene i Bergens Tidende og Aftenposten har fått en e-post. Foto: Montasje

– Kan brukes til svindel og spam

Konkret gjelder det fire forskjellige brukerundersøkelser via Aftenpostens E-avis eller Bergens Tidendes nettsider.

Typeform omtaler det som en teknisk svikt som har gitt uautorisert tilgang til dataene, ifølge Kielland. De skal ha fått kontroll på problemet kort tid etter at de ble gjort oppmerksom på lekkasjen.

– Vi vil at folk skal være ekstra oppmerksom på e-poster som kan være spam eller forsøk på svindel. Formålet for dem som har hacket og stjålet informasjon fra Typeform, er svindel og spam, sier Kielland.

– Hvordan vet dere det?

– Basert på informasjon fra Typeform, så er det den sterkeste hypotesen – at det er formålet med dataene. Gitt at det ikke er snakk om sensitive data, men likevel data som potensielt gir dem anledning til å kontakte brukerne direkte via e-post, sier Kielland.

De gjennomgår nå sikkerheten for flere tilsvarende tredjepartsløsninger i tillegg til Typeform.

Tok fem dager fra angrep til varsling

– Hva gjør Schibsted nå for å bøte på skaden?

– Det vi generelt gjør nå, er å gjennomgå dataavtaler med tredjepartsløsninger og evaluerer deres prosesser. Vi må gjennomgå Typeforms tjenester fremover og også tilsvarende eksterne leverandører, sier hun.

Det tok fem dager fra angrepet skjedde til Schibsted ble varslet.

– Grunnen til at det tok så lang tid, er nok for at de måtte få oversikt over omfanget og hvilke kunder de måtte varsle. Det er mange store aktører som er rammet, og det er blitt skrevet om en del om det i internasjonale medier.

Datatilsynet er rutinemessig blitt varslet om datalekkasjen.

Publisert: