Informasjon om sikkerhetshendelse

Det var postet informasjon om et datasett med kataloguttrekk fra Fredrikstad kommune. Datasettet inneholdt data om ansatte i Fredrikstad og Hvaler kommuner med arbeidssted, epost-adresser og telefonnummer m.m. Informasjonen tilsvarer hva det var mulig å finne gjennom søk i ansatte på kommunenes nettsider.

Vi har i denne sammenheng avdekket en feil i løsningen for ansattsøk. Løsningen var ment for å gjøre oppslag på ansattinformasjon, tilsvarende et katalogsøk. Det har dessverre vist seg at den kunne misbrukes til å hente ut informasjon om flere brukere enn tiltenkt.

Løsningen ga imidlertid ikke tilgang til passord, innlogging eller systemrettigheter.

Ansattsøk er nå umiddelbart stengt, og tilgangen er fjernet. Det er ikke funnet indikasjoner på at sensitiv informasjon som passord eller sikkerhetsnøkler har vært eksponert, og det er ikke tegn til videre kompromittering av IT-miljøet.

Hendelsen følges opp med gjennomgang av løsningen, logging og rutiner for å sikre at tilsvarende eksponeringer ikke oppstår igjen. Dette vurderes som en uønsket eksponering av katalogdata, ikke et sikkerhetsbrudd mot kjernesystemene.