Visma-server hacket og brukt til bitcoin-mining – inneholdt tusenvis av personopplysninger

En Visma-server har blitt hacket og brukt til utvinning av bitcoin. Visma sier uvedkommende kan ha fått tilgang til 17.000 oppføringer av personopplysninger.

Vismas norske datterselskap Visma Software Nordic oppdaget i sommer at en av deres servere hadde blitt hacket og brukt til utvinning av kryptovalutaen bitcoin.

På serveren lå en database med 17.000 oppføringer om brukere med navn, epostadresser, bedrift og lignende. Informasjonen tilhørte brukere av oppslagsverket Oppslag Juridisk, som er en tilleggstjeneste Visma tilbyr.

Det kommer fram i en avviksmelding Visma Software Nordic har sendt til Datatilsynet, og som NTB har fått innsyn i. Selskapet bekrefter hendelsen til NTB.

– Våre undersøkelser har avdekket at innbruddet startet i begynnelsen av 2021 og varte i nærmere halvannet år, fram til august 2022, sier kommunikasjonsdirektør Lage Bøhren i Visma til NTB.

Visma er et norsk selskap som leverer en rekke tjenester og programmer til bedrifter, blant annet lønn- og personalsystemer.

Databasen inneholdt ingen personopplysninger som regnes som sensitive.

– Vi kan samtidig understreke at de involverte personopplysningene ikke var knyttet til kunders data eller lønnssystem, men omfattet innloggingsinformasjon og detaljer som f.eks. navn, epost, firmanavn og fakturaadresse, sier Bøhren.

– Den tekniske etterforskningen fant ingen bevis på at personopplysninger var blitt hentet ut av løsningen, men det kunne heller ikke utelukkes, sier Bøhren.

Visma vet ikke hvem som kan stå bak bitcoin-utvinningen.

Tjenesten var et faglig oppslagsverk for juridisk støtte til lønnsarbeid, men hadde ikke noe med Vismas lønnssystem å gjøre teknisk.

De 17.000 oppføringene inkluderer testdata og duplikater. Det betyr at det trolig er færre personer enn dette som er berørt. Visma skriver i avviksmeldingen at det er vanskelig å anslå det eksakte antallet berørte personer.

Bøhren forklarer at hendelsen ikke er anmeldt.

– Vismas interne retningslinje er at all kriminell aktivitet skal meldes til politiet. I dette konkrete tilfellet ble imidlertid miningaktiviteten avdekket såpass lenge etter at den hadde vært aktiv, at det ikke ble vurdert som hensiktsmessig å politianmelde saken, sier han.

De berørte personene er heller ikke varslet, siden Visma har vurdert at avviket ikke har utgjort en høy risiko for de berørte.

Da innbruddet ble oppdaget 22. juli i år, ble serveren isolert og sikret. 1. august oppdaget de at dataene inneholdt personopplysninger, og Datatilsynet ble varslet.

– Etter å ha oppdaget aktiviteten, ble løsningen umiddelbart isolert og deretter nedstengt, og etter dette har det ikke vært behov for ytterligere tiltak, sier Bøhren.

Datainnbruddet ble oppdaget av en rutinemessig analyse av sikkerheten til serverne, skriver Visma i avviksmeldingen. Det ble da avdekket av servermiljøet hadde blitt brukt til utvinning av bitcoin.

– Det betyr at inntrengeren trolig også har hatt tilgang til personopplysninger som lå lagret på denne serveren, skriver Visma.

I etterkant har selskapet gjort en gjennomgang av andre lignende servermiljøer for å avdekke lignende risikoer, opplyser Bøhren.

I avviksmeldingen skriver Visma at de berørte personene ennå ikke er varslet, men at selskapet evaluerer omfanget og konsekvensene av bruddet fortløpende.

(NTB)