Han bestilte 9999 barnebilletter og kræsjet bussenes nettsider. Så begynte han i Telenor.

Daniel Christensen har hacket 300 bedrifter. Nå får han lønn for å prøve seg på Telenor.

Daniel Christensen får betalt av Telenor for å prøve å hacke Telenor. Foto: Stein J. Bjørge

Under koronaen for noen år siden satt Daniel Christensen (23) i en mørk kjellerleilighet i Trondheim og drev med sin favoritthobby: Hacke nettsider hos bedrifter.

Om kvelden 28. september hacket han seg inn hos Telenor.

– Et par feil hos Telenor gjorde at jeg fikk en tilgang jeg ikke skulle hatt. Det satte meg i stand til å kræsje denne siden, sier han.

Men i stedet for å kræsje siden rapporterte han feilen til Telenor.

Så skjedde ting fort. Dagen etter fikk han «takk» og melding om at hullet var tettet. Så ble han tilbudt et intervju med mulig jobb i sikte.

Etter to intervjuer ble han ansatt i Telenor som «etisk hacker». Han fortsatte som lærling på videregående og fikk fagbrev i IKT-servicefag.

Jobben er å prøve å hacke seg inn i Telenor. Han har fem hacker-kolleger.

– De skal systematisk teste våre systemer for sikkerhetshull ved å bruke de samme metodene som ondsinnede aktører, slik at vi kan tette sårbarhetene før de kan utnyttes av kriminelle, sier David Fidjeland, informasjonssjef i Telenor.

I tillegg til fagbrevet har Christensen utdannet seg ved å hacke rundt 300 bedrifter, på hobby-basis. Han kontaktet dem alle for melde fra om svikten.

Hacker-PC. Foto: Stein J. Bjørge

Har seks SIM-kort

Christensen prøver seg på alle flater der Telenor viser seg, slik som intranettet, nettsider og ulike apper med tilknytning til Telenor. Han har seks ulike SIM-kort for å kunne boltre seg på mobilnettet.

Når han tester sikkerheten til ulike systemer kan det utløse sperringer eller sikkerhetsmekanismer.

– Jeg bruker flere SIM-kort for å unngå at mitt eget nummer blir blokkert eller flagget som mistenkelig, sier han.

Han tester handlekurven på Telenors nettside og prøver å få tilgang til persondata som Telenor lagrer.

– Vi oppfører oss som kriminelle for at Telenor skal kunne holde de virkelig kriminelle utenfor, sier Christensen.

Han sier alle datasystemer han store eller små feil og hull i sikkerheten. Disse er det selvsagt viktig å avdekke.

– Men det er også viktig å ha beredskap så skaden blir minst mulig hvis noen finner feilen og utnytter den.

Kræsj med 9999 billetter

Christensen har mange bedrifter på samvittigheten fra tiden før han begynte i Telenor. Sammen med en kompis klarte han å finne en feil i datasystemet til kollektivselskapet AtB. Det leverer kollektivtransport i Trøndelag.

– Ved å bestille 9999 barnebilletter kollapset systemet. Vi rapporterte dette umiddelbart og etter en halvtime var systemet oppe igjen, forteller han.

Som hacker var hans spesielt interessert i nettbutikker. En klassiker er å legge inn «−1» i feltet for antall bestilte varer.

– I mange nettbutikker går slike bestillinger gjennom uten at det blir krevd betaling, sier Christensen.

Video: Daniel Christensen

Kunstig Intelligens (KI) påvirker også Christensens hverdag. Som på så mange områder er KI både positivt og negativt for det han driver med. Det kan brukes både til å avverge angrep på datasystemer og til å utføre angrep.

– KI utvikler seg raskt. I første omgang har det ført til økt volum av svindelforsøk via e-post og SMS, men nå ser vi at kriminelle bruker KI til å lage mer avanserte angrep. I Telenor bruker vi selv KI aktivt for å beskytte både våre systemer og kundene våre, noe som er viktigere enn noen gang, sier han.

Han venter at KI kommer for fullt blant hackere.

– Det er all grunn til å vente at KI betyr at fremtidens dataangrep blir raskere, mer omfattende og mer avansert, sier han.

Ble banksjef

Eksemplene fra hans hackerkarriere er mange. En gang kjøpte Christensen et gammelt domenenavn som før hadde vært brukt av en bank.

– Dermed ble jeg banksjef. Gjennom en kombinasjon av flaks og ulike omstendigheter endte e-postene til banksjefens hos meg, sier han

Ellers har han ett råd til folk som vil beskytte seg: Slå på to-faktor autentifisering. Det betyr for eksempel at et passord skal skrives inn på PC-en og at en SMS deretter skal besvares på telefonen med et annet passord. Eller at det er dobbel bruk av passord på telefonen.

– Dette gjør nettbruken mye tryggere. Sterke passord kombinert med to-faktor autentiseringer er et bra vern, sier han.

Ellers er rådet å være forsiktig med alt som blir puttet inn i PC-en. Det gjelder ladekabler brukt på offentlige steder og det gjelder minnepinner.

– Dessuten skader det ikke det å være åpen om svindelen. Det er ikke flaut, og åpenhet skjerper bevisstheten blant folk. Jeg er bitt både hacket og svindlet, sier Christensen.