Media har i de siste dagene skrevet om hendelser der persondata har blitt gjort søkbare i søkemotoren Bing. Nå tyder mye på at det er en endring hos Microsoft som kan være årsaken.
Nasjonal sikkerhetsmyndighet (NSM) sin foreløpige vurdering er at Microsoft har gjort en endring i hvilke kilder søkemotoren Bing bruker for sin indeksering. Dette ser ut til å ha resultert i at innholdet på maskingenererte, personlige direktelinker har endt opp søkbare i Bing.
Slike direktelinker brukes ofte for å la brukere se for eksempel kvitteringer, fakturaer eller andre sensitive dokumenter, uten at brukeren må logge seg inn hos virksomheten det gjelder.
Bruken av maskingenererte, “private” nettadresser har tidligere vært ansett som akseptabel sikkerhet og risiko, vurdert av den enkelte virksomhet og sektor.
Evry opplyser til Digi.no at de mener at det er en endring i Nettleseren Edge som er årsaken til informasjonslekkasjene. På det nåværende tidspunktet ser det ut til at det er Edge som leverer URL’ene som brukeren besøker over til Bing, som deretter indekserer sidene.
Microsoft har kommet med en ny måte å crawle og indeksere på. Innhold som før ikke ble indeksert, blir indeksert nå. Løsninger som NSM tidligere anså som sikre, er ikke sikre lenger.
-Hans Christian Pretorius, avdelingsdirektør for operativ sikkerhet i NSM
For deg som bruker betyr dette at dersom du mottar en lenke til en faktura eller ordre på mail, og går inn på denne via nettleseren Edge, så vil siden med dine opplysninger bli indeksert og gjort søkbar. Mange nettsteder presenterer personlig informasjon til deg med URL’er som er generert på en slik måte at man ikke kan gjette seg til hva den er. Det er kun den som har mottatt URL’en som kan klikke seg inn på informasjonen, og sikkerheten ligger i at den ikke blir delt med noen andre. Situasjonen er nå at alle kan søke opp disse sidene på søkemotoren Bing.
Med andre ord, maskingenererte webadresser – som før ble oppfattet av norske selskaper som trygge – er ikke trygge lenger. Slike maskingenererte webadresser har vært en vanlig praksis i norske selskaper, og spørsmålet nå er om Microsoft over natten har gjort en slik praksis mer usikker enn det den var.
Konsekvensene for den enkelte kan være at privat og personsensitiv informasjon kommer på avveie, og at dette kan brukes ved ID-tyverier og annen datakriminalitet.
Les mer:
https://nsm.stat.no/aktuelt/sokbare-persondata-i-sokemotorer/
NorSIS anbefaler:
Inntil videre anbefaler vi at den enkelte vurderer å bytte standard nettleser i Windows 10. I denne saken anbefaler vi å være føre var, og å bytte nettleser kan forhindre videre lekkasje av personsensitiv informasjon.
Det er også mulig endre konfigurasjonen i Bing slik at dine treff blir skjult.
Les våre veiledninger her:
Slik endrer du standard nettleser i windows 10