---

http://www.snakeoil.dk/kommentarer/20021028-1

==================

Snakeoil.dk har den 28/10 2002 modtaget følgende email:

From: "Nils Rasmussen" <nr@datatilsynet.dk>
Date: Mon, 28 Oct 2002 12:32:29 +0100
Subject: Svar: Anmeldelse af Valus Datatilsynets j.nr.: 2002-711-0030

[-- Attachment #1 --]
[-- Type: text/plain, Encoding: 8bit, Size: 7.8K --]

Til Alex Holst,

Datatilsynet har på baggrund af din henvendelse om valus.dk besluttet
at undersøge sagen nærmere. Tilsynet har derfor i brev af 23. oktober
2002 anmodet Den Norske Bank, som er ansvarlig for valus.dk, om en
redegørelse.

Kopi af Datatilsynets brev vedlægges til orientering


Med venlig hilsen



Nils Rasmussen

Datatilsynet
Borgergade 28, 5.
Postboks 9044
1300 København K

Tlf.: 33 19 32 00
Dir.: 33 19 32 34
Fax: 33 19 32 18

Hjemmeside: www.datatilsynet.dk
Officiel e-post: dt@datatilsynet.dk

[-- Attachment #2: Word for Windows version 6.0 --]
[-- Type: application/msword, Encoding: base64, Size: 364K --]

[-- application/msword is unsupported (use 'v' to view this part) --]

Det vedhæftede Word dokument blev kørt gennem antiword med følgende
resultat.

Valus.dk, CVR-nr.: 19-13-63-02

Den Norske Bank. Filial af Den Norske Bank SA. Norge

Højbro Plads 21, 1.

1200 København K
U D K A S T










|23. oktober |Uvedkommendes adgang til data i valus.dk
|
|2002 |
|
| |
|


Datatilsynet
Borgergade 28, 5.
1300 København K

CVR-nr. 11-88-37-29

Telefon 3319 3200
Fax 3319 3218

E-post dt@datatilsynet.dk
www.datatilsynet.dk

J.nr. 2002-711-0030
Sagsbehandler
Nils Rasmussen
Direkte 3319 3234


Datatilsynet er på baggrund af en henvendelse den 16. oktober 2002 fra
Alex
Holst <holsta@mongers.org> blevet opmærksom på en mulig sikkerhedsbrist
hos
valus.dk.

Det fremgår af nævnte henvendelse, som vedlægges i kopi, at det, da
valus.dk åbnede den 23. maj 2002, for uvedkommende var muligt at få
valus.dk's databasesystem til at gå ned, og at det ville have været
muligt
for uvedkommende med tilstrækkeligt kendskab til det benyttede
databaseprodukt at tilgå og modificere vilkårlige dele af valus.dk's
database.

Det fremgår af § 41 stk. 3 i persondataloven[1], at den dataansvarlige
skal
træffe de fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger
mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes
eller
forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges
eller i øvrigt behandles i strid med loven. Tilsvarende gælder for
databehandlere.

Af persondatalovens § 42 fremgår det, at når en dataansvarlig overlader
en
behandling af oplysninger til en databehandler, skal den dataansvarlige
sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte
tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at
dette
sker.

Datatilsynet opfatter Den Norske Bank som dataansvarlig for valus.dk.

Datatilsynet har på baggrund af henvendelsen fra Alex Holst besluttet at
undersøge, om persondataloven har været overtrådt. Tilsynet skal derfor
anmode Den Norske Bank om at oplyse følgende:

1) om det for uvedkommende har været muligt at tilgå eller modificere
oplysninger i valus.dk om personer samt hvilke personoplysninger,
uvedkommende i givet fald har kunnet få adgang til, og hvor mange
registrerede personer det kan dreje sig om.

2) om årsagen til hændelsen kan tilskrives fejl ved et produkt,
mangelfuld
vedligeholdelse af et produkt eller en konfiguration,
fejlkonfiguration
eller andet.

3) om interne regler har været overtrådt - og i givet fald hvilke.

4) hvilke tekniske og organisatoriske tiltag banken har gjort for at
minimere risikoen for en gentagelse af hændelsen - f.eks. i form af
ændringer i adgangskontrolsystemer og teknisk sikkerhedsløsning eller
revision eller indskærpelse af interne regler.

Datatilsynet skal anmode et svar senest tre uger fra dags dato.

Det skal for god ordens skyld oplyses, at Forbrugerstyrelsen har anmodet
om
at blive orienteret om udfaldet af denne sag, og at Datatilsynet
eventuelt
efterfølgende vil omtale sagen på sin hjemmeside.



Med venlig hilsen





Nils Rasmussen







Bilag: Kopi af henvendelse fra Alex Holst.

-----------------------
[1] Lov nr. 429 om behandling af persondata af 31. maj 2000 som ændret
ved
lov nr. 280 af 25. april 2001


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:

> http://www.snakeoil.dk/kommentarer/20021028-1

Yes, så ruller bolden. Jeg vil gerne endnu en gang sige: Godt gået,
Alex. Jeg glæder mig meget til at læse (om) Danske Bank's svar til
Datatilsynet.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Nu med mere bitter disclaimer.

---

"Niels Callesøe" <pfy@nntp.dk> skrev i en meddelelse
news:Xns92B5B7F44E3BDk5j6h4jk3@193.88.15.213...
> Alex Holst wrote:
>
> > http://www.snakeoil.dk/kommentarer/20021028-1
>
> Yes, så ruller bolden. Jeg vil gerne endnu en gang sige: Godt gået,
> Alex. Jeg glæder mig meget til at læse (om) Danske Bank's svar til
> Datatilsynet.

Glæd dig nu ikke for meget, jeg tror slet ikke de svarer.

Derimod glæder jeg mig til at se hvad Den Norske Bank svarer

/Brian

---

Brian R. Jensen wrote:

>> > http://www.snakeoil.dk/kommentarer/20021028-1
>>
>> Yes, så ruller bolden. Jeg vil gerne endnu en gang sige: Godt gået,
>> Alex. Jeg glæder mig meget til at læse (om) Danske Bank's svar til
>> Datatilsynet.
>
> Glæd dig nu ikke for meget, jeg tror slet ikke de svarer.
>
> Derimod glæder jeg mig til at se hvad Den Norske Bank svarer

Bah, det må jeg jo medgive. Jeg ved ikke helt hvorfor jeg fik skrevet
Den Danske Bank, det var selvfølgelig en fejl.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Nu med mere bitter disclaimer.

---

"Niels Callesøe" <pfy@nntp.dk> wrote in message
news:Xns92B6F0021277k5j6h4jk3@193.88.15.213...
>
> Bah, det må jeg jo medgive. Jeg ved ikke helt hvorfor jeg fik skrevet
> Den Danske Bank, det var selvfølgelig en fejl.

Hvilket man selfølgeig ikke gør ustraffet i dk.edb.sikkerhed :=)

--
Flemming

---

F.Larsen wrote:

>> Bah, det må jeg jo medgive. Jeg ved ikke helt hvorfor jeg fik
>> skrevet Den Danske Bank, det var selvfølgelig en fejl.
>
> Hvilket man selfølgeig ikke gør ustraffet i dk.edb.sikkerhed :=)

Det er klart. Jeg ville såmænd ikke have det anderledes. :)

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Nu med mere bitter disclaimer.

---

On 28 Oct 2002 17:02:56 GMT skrev "Niels Callesøe" <pfy@nntp.dk> .

>Alex Holst wrote:
>
>> http://www.snakeoil.dk/kommentarer/20021028-1
>
>Yes, så ruller bolden. Jeg vil gerne endnu en gang sige: Godt gået,
>Alex. Jeg glæder mig meget til at læse (om) Danske Bank's svar til
>Datatilsynet.

Spændende...hvorfor tror du Danske Bank vil svare ?
Havde det været Fokus Bank vi snakkede om kunne jeg forstå det,
men Danske Bank ???

Martin

---

"Alex Holst" <a@mongers.org> wrote in message
news:a4pjpa.n1k.ln@miracle.mongers.org...
>
> Snakeoil.dk har den 28/10 2002 modtaget følgende email:
>
> From: "Nils Rasmussen" <nr@datatilsynet.dk>
> Date: Mon, 28 Oct 2002 12:32:29 +0100
> Subject: Svar: Anmeldelse af Valus Datatilsynets j.nr.: 2002-711-0030

Det var dat rart at der endeligt skedet noget 1
For mit vedkommende har det genetableret troen på systemet lidt igen
Det bliver rigtigt interresant at se svaret.

Formuleringen i svaret kan envidere have betydning for de to verserende
sager mod valus kunder.

--
Flemming

---

Alex Holst <a@mongers.org> wrote:

>1) om det for uvedkommende har været muligt at tilgå eller modificere
> oplysninger i valus.dk om personer samt hvilke personoplysninger,
> uvedkommende i givet fald har kunnet få adgang til, og hvor mange
> registrerede personer det kan dreje sig om.

Er det bare mig, der har en fornemmelse af, at det loeber ud i
sandet, fordi spoergsmaalet laegger op til, at Norske Bank svarer
"Ih, nej. Det var ikke muligt."?

Havde Datatilsynet udbedt sig en redegoerelse for
strukturen/lagringen af de lagrede informationer, sammen med en
begrundet analyse af, hvilke dele af informationerne, der havde
vaeret tilgaengelige, havde jeg vaeret mere optimistisk.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Allan Olesen" <aolesen@post3.tele.dk> wrote in message
news:3dbec477$0$93420$edfadb0f@dspool01.news.tele.dk...
>
> Er det bare mig, der har en fornemmelse af, at det loeber ud i
> sandet, fordi spoergsmaalet laegger op til, at Norske Bank svarer
> "Ih, nej. Det var ikke muligt."?

Indtil nu syntes jeg at Datatilsynets fremgangs måde er helt korrekt. Når NB
har svaret kunne et passende næste skridt være at datatilsynet (f.eks. ved
uvildige eksperter) validere / fremskaffer bevis for de påstande som NB så
har fremsat i svaret.

--
Flemming

---

In article <vDzv9.192875$Qk5.6713420@news010.worldonline.dk>, F.Larsen wrote:
> "Allan Olesen" <aolesen@post3.tele.dk> wrote in message
> news:3dbec477$0$93420$edfadb0f@dspool01.news.tele.dk...
>>
>> Er det bare mig, der har en fornemmelse af, at det loeber ud i
>> sandet, fordi spoergsmaalet laegger op til, at Norske Bank svarer
>> "Ih, nej. Det var ikke muligt."?
>
> Indtil nu syntes jeg at Datatilsynets fremgangs måde er helt korrekt. Når NB
> har svaret kunne et passende næste skridt være at datatilsynet (f.eks. ved
> uvildige eksperter) validere / fremskaffer bevis for de påstande som NB så
> har fremsat i svaret.

Ja, og hvis der er personfølsomme oplysninger på Valus, så har
har Norske Bank vel, jvf. loven, selvfølgelig log 5 år tilbage
med hvem der har set og ændret hvad og hvorfor.

---

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
news:slrnartnp5.r3b.povlhp@povl-h-pedersens-computer.local...

> Ja, og hvis der er personfølsomme oplysninger på Valus, så har
> har Norske Bank vel, jvf. loven, selvfølgelig log 5 år tilbage
> med hvem der har set og ændret hvad og hvorfor.

Jeg tror NB får svært ved at tilfredstille datatilsynet ved blot af afvise
påstandene. Hvis sikkerheden har været så dårlig som omtalt så kan der også
være tvivl om de har styr på hvem der har set hvilke oplysninger som de ikke
skulle have adgang til. Når man samtidigt tager i betragtning, at CW har
kørt en artikel hvor journalisten har fået demonsteret "hullet" og skriver
at han er besiddelse af oplysninger (skærmdumps) som viser to andres kunders
konti, så tror jeg at der skal mere til for at tilfredsstille datatilsynet
(kan ikke lige p.t. finde artiklen på CW ;)

--
Flemming

---

"F.Larsen" <n0spam@spamfilter.dk> skrev

> Når man samtidigt tager i betragtning, at CW har
> kørt en artikel hvor journalisten har fået demonsteret "hullet" og skriver
> at han er besiddelse af oplysninger (skærmdumps) som viser to andres kunders
> konti, så tror jeg at der skal mere til for at tilfredsstille datatilsynet
> (kan ikke lige p.t. finde artiklen på CW ;)

Men her er hvad der bla stod:

"Man skulle blot logge ind på sin egen konto og sætte en bestemt internetadresse
ind i browserens adressefelt.

I den adresse skulle man ændre et firecifret transaktionsnummer, og straks kunne
man se, hvad de enkelte betalinger var gået til.

Navngivne brugere
Computerworld Online kiggede selv med, inden hullet blev lukket i løbet af natten
til torsdag.

De fleste transaktioner afslørede blot, at en kunde - som ikke kunne identificeres -
havde købt en ringetone til ni kroner hos TV2.dk, og at en anden havde købt et
mobillogo hos Jubii.

Vi fik imidlertid også adgang til en transaktion, hvor en navngiven person har overført
to kroner til en anden navngiven person. Det er en indbygget funktion i Valus, at en
bruger kan overføre småbeløb til en anden bruger.

Disse personoplysninger er vi stadig i besiddelse af, men vælger naturligvis at lade
de to personer være anonyme."

http://www.computerworld.dk/default.asp?Mode=2&ArticleID=14720

--
Cubus
http://cubus.adsl.dk/

---

"Cubus" <cubus@sol.dk> wrote:

>Vi fik imidlertid også adgang til en transaktion, hvor en navngiven person har overført
>to kroner til en anden navngiven person. Det er en indbygget funktion i Valus, at en
>bruger kan overføre småbeløb til en anden bruger.
>
>Disse personoplysninger er vi stadig i besiddelse af, men vælger naturligvis at lade
>de to personer være anonyme."
>
>http://www.computerworld.dk/default.asp?Mode=2&ArticleID=14720

Er computerworld mon sigtet?

Det lyder da alvorligere end Cubus' forbrydelse.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:

>>Disse personoplysninger er vi stadig i besiddelse af, men vælger naturligvis
>>at lade de to personer være anonyme."
>>
>>http://www.computerworld.dk/default.asp?Mode=2&ArticleID=14720

> Er computerworld mon sigtet?
>
> Det lyder da alvorligere end Cubus' forbrydelse.

IANNANANNAAKL (jeg er ikke advokat) men journalister har vist beføjelser
til at bryde loven (hvis det ikke er for meget) under research på en
historie.

Det hørte jeg i forbindelse med at Jyllands-Posten "war-drivede" efter
trådløse netværk inde i København.

--
..signature

---

In article <apn2fs$1o8v$1@news.cybercity.dk>, Christian Andersen wrote:
>
> IANNANANNAAKL (jeg er ikke advokat) men journalister har vist beføjelser
> til at bryde loven (hvis det ikke er for meget) under research på en
> historie.

Nej.

> Det hørte jeg i forbindelse med at Jyllands-Posten "war-drivede" efter
> trådløse netværk inde i København.

Og de blev politianmeldt.

--
Andreas Plesner Jacobsen | One Bell System - it works.

---

"Christian Andersen" skrev:
> IANNANANNAAKL (jeg er ikke advokat) men journalister har vist
beføjelser
> til at bryde loven (hvis det ikke er for meget) under research på en
> historie.
>
Det er ikke rigtigt. Den eneste juridiske forskel på journalister og
andre dødelige er, at en journalist som udgangspunkt kan bede sig fri
for at vidne, hvis formålet er at beskytte en kilde. Med andre ord: En
journalist behøver ikke udlevere navnet på en anonym kilde. Men
journalisten må selvfølgelig ikke selv deltage i en ulovlig handling. Og
der har også været eksempler på, at domstole har forsøgt at tvinge
journalister og pressefotografer til at udlevere materiale til politiet,
fordi det har drejet sig om alvorlige forbrydelser.

Til gengæld kan du alligevel have en pointe. Der er tradition for, at
både politi og domstole ser med milde øjne på, hvad journalister graver
frem, hvis det vurderes at være af principiel betydning for samfundet,
at en skummel sag kommer for dagens lys. Det hænger formentlig sammen
med Den europæiske Menneskerettighedskonventions bestemmelser om
ytringsfrihed og retten til fri adgang til informationer.

> Det hørte jeg i forbindelse med at Jyllands-Posten "war-drivede" efter
> trådløse netværk inde i København.
>

Han blev faktisk aldrig politianmeldt, har han fortalt mig. Københavns
Kommune _truede_ med at gøre det, men de kom til fornuft. En retssag
ville have tvunget kommunen til at vaske sit snavsetøj i fuld
offentlighed. Det kan jo være lidt småpinligt at skulle sidde i retten -
under vidneansvar - og underholde en flok journalister på tilhørerbænken
med den elendige it-sikkerhed, som ligger til grund for hele sagen.

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)

---

Thomas B. Maxe wrote:

>> [...] journalister har vist beføjelser til at bryde loven (hvis det
>> ikke er for meget) under research på en historie.

> Det er ikke rigtigt. Den eneste juridiske forskel på journalister og
> andre dødelige er, at en journalist som udgangspunkt kan bede sig fri
> for at vidne, hvis formålet er at beskytte en kilde.

Jeg takker for korrektionen.

--
..signature

---

Allan Olesen skrev:

>Er det bare mig, der har en fornemmelse af, at det loeber ud i
>sandet, fordi spoergsmaalet laegger op til, at Norske Bank svarer
>"Ih, nej. Det var ikke muligt."?

Jeg tror ikke du skal undervurdere styrken i en 'jysk'
forespørgsel.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

In article <81ttru8mv51mgm7g31eg11ic1q3s9bpc6m@news.telia.dk>, Bertel Lund Hansen wrote:
> Allan Olesen skrev:
>
>>Er det bare mig, der har en fornemmelse af, at det loeber ud i
>>sandet, fordi spoergsmaalet laegger op til, at Norske Bank svarer
>>"Ih, nej. Det var ikke muligt."?
>
> Jeg tror ikke du skal undervurdere styrken i en 'jysk'
> forespørgsel.
>
Enig. Hvis Norkse Bank selv skal formulere de spørgsmål
de svarer på, så er der større sandsynlighed for at de stiller
sig selv nogle spørgsmål som datatilsynet ikke ville stille,
og at de går i flere detaljer for at være sikre på datatilsynet
ikke skal henvende sig igen.

Jo længere tid denne sag trækker ud, jo længere tid går der inden
Valus kan stå som seriøse og begynde at tjene penge.