Det var normalt blandt ansatte hos Nets at misbruge adgangen til danskernes brug af betalingskort, for eksempel for at snage på kendte mennesker eller ekskærestens forbrug. Det fortæller en tidligere ansat til Version2.
Sagen om en tidligere ansat hos Nets, som gennem fire år solgte fortrolige kundedata om kendte og kongelige har sat spekulationerne i gang om datasikkerheden og de interne procedurer hos Nets. Og Version2 kan nu afsløre, at det ikke krævede særlige beføjelser eller administratorrettigheder at få disse oplysninger frem, hvis ansatte ønskede at snage i andres privatliv. Det fortæller en tidligere ansat hos Nets, som Version2 kender identiteten på, og som var ansat samtidigt med, at en it-medarbejder hos Nets’ leverandør IBM solgte oplysninger til Se og Hør.
Medarbejderne kunne generelt let slå op i databaserne for Dankort og de internationale kort og holde øje med, hvor et betalingskort var blevet brugt, og hvor meget der var købt for.
»Lige så snart, kortet bliver sat i en terminal, kan du se, hvor folk er henne, og hvad de har brugt af kroner i hvilke butikker – også i udlandet og ved kontanthævninger. Vi kunne også se, hvad forretninger omsatte for. Problemet er, at det var alle, som havde adgang til de her oplysninger,« fortæller kilden til Version2, på baggrund af flere års ansættelse hos Nets.
Og den adgang blev misbrugt af de ansatte, for eksempel i kundeservice-afdelingen, hvor især unge mennesker bliver ansat som ufaglært arbejdskraft.
»Det var normalt at kigge på, hvad ekskærester og kendte personer brugte deres kort til. Eller at se, om kæresten, der var holdt op med at ryge, alligevel havde været i kiosken og købe cigaretter. Hvis ens venner var i byen, kunne man se hvor de var henne,« fortæller Version2’s kilde, ud fra sine egne oplevelser hos Nets.
I kundeservice fik nye medarbejdere adgang til alle kundedata fra første dag på arbejdet, og der var ikke nogle alarmer, der gik, eller nogen påtale af misbruget af den omfattende adgang til kundernes data.
Om der blev ført en log over de ansattes opslag i databaserne over transaktioner, kan Version2’s kilde ikke afvise, men der var i hvert fald ikke overvågning nok til at opdage, at der blevet lavet mange ulovlige opslag, pointerer den tidligere medarbejder. De ulovlige opslag blev flettet ind mellem de legitime opslag, og i kundeservice var det på grund af arbejdsopgaverne ikke mistænkeligt at slå tre kort op på et minut.
Kunne finde CPR-numre via udenlandske kort
Adgang til data om danskernes brug af Dankort og Visa/Dankort er beskyttet på den måde, at man skal bruge et CPR-nummer eller kontonummer for at få adgang. Men det var sjældent en forhindring, for listen over udenlandske kort kunne bruges til at finde et CPR-nummer.
»Med Mastercard og Visa Electron og de andre kunne man søge på navn og så sortere efter for eksempel fødselsår for at finde en person. Så kan man se personens CPR-nummer der og få adgang til de danske bankdatacentraler med Dankort-transaktioner. Og rigtig mange danskere har et udenlandsk kort ved siden af, for bankerne har været meget glade for at udstede dem,« siger kilden.
Kendte man ikke det fulde navn på en person, var det som regel muligt at finde på for eksempel Facebook eller andre sociale tjenester.
»Nu handler sagen om oplysninger, der blev solgt til Se og Hør. Men det kunne lige så godt være rockergrupper, som køber de her oplysninger for at finde en person,« siger den tidligere medarbejder.
Selvom Nets har dækket sig ind juridisk i ansættelseskontrakter i forhold til misbrug af data, var det ikke et emne, som kom op undervejs i ansættelsen hos Nets.
Heller ikke i kundeservice-afdelingen er der nogen undervisning om disse emner eller løftede pegefingre. Oplæringen af nye medarbejdere sker som sidemandsoplæring igennem nogle måneder, og så skal man bestå en lille test for at fortsætte.
»Den handler om, hvordan man løser forskellige opgaver. Der er ingen spørgsmål om etik,« siger kilden.
Version2 har bedt Nets om en kommentar til den tidligere ansattes beretning om datasikkerheden hos Nets. Den eneste melding, Nets ønsker at give, er, at alle ansatte skriver under på, at de kun må tilgå data, som er nødvendige for at løse arbejdsopgaverne, samt at de ikke må videregive data. Desuden er der krav om ren straffeattest, oplyser Nets.
Læs også blogindlæg: IT-Sikkerhed: Ikke en “how-to” for lægmænd
Leave a Reply