Datautvikler Robert Sæther oppdaget nylig at nordmenns fødselsdatoer var tilgjengelig i kildekoden på nettsiden til Gule Sider.
Sensitiv informasjon ble dermed gjort tilgjengelig for hvem som helst, selv om de ikke var synlige i den offentlige resultatlisten, skriver Dagens Næringsliv.
Usikre API-er
– Hvem som helst kan hente ut dataene utenfra. Man kan hente ut opptil tusen treff av gangen fordi de mangler sikkerhetsmekanismer i systemene sine, sier Sæther til avisen og legger til:
– Eniro har ikke sikret API-ene sine spesielt godt.
Tar det alvorlig
Et API er et sett med regler og definisjoner som tillater programvarer å kommunisere med hverandre. Å sikre disse er viktig i forbindelse med håndtering av personopplysninger for å unngå datalekkasjer.
– Vi tar dette feiltrinnet alvorlig og har allerede satt i gang nødtiltak for å umiddelbart fjerne fødselsdatoer fra API-svaret for Gule Sider, og dette er nå utført og bekreftet, sier toppsjef Hosni Teque-Omeirat i Eniro, selskapet som eier og driver Gule Sider.