– Det er ekstremt sensitive filer, sier sikkerhetstester Chris Dale.
Folks førerkort, personnummer og vognkort var offentlig tilgjengelig på internett.
Filene tilhører nettsiden Bilklager.no og var mulig å få tak i over flere måneder, forteller Dale.
Ifølge Dale er det snakk om 13.000 filer. For Dale er det ikke uvanlig å komme over filer som ikke er sikret godt nok.
Først når NRK kontakter selskapet, blir filene skjult for offentligheten.
– Det er uskyldige mennesker dette går utover, sier Dale.
Chris Dale jobber som sikkerhetstester og oppdaget sikkerhetshullet hos Bilklager.
Foto: SANS InstituteHan jobber som «etisk hacker» eller sikkerhetstester i selskapet River Security og tipset NRK om at filene lå ute på nett.
NRK har gjennomgått enkelte av filene. En stor andel av dem er kontrakter for bilsalg og vognkort. Blant filene er det også skjermbilder av e-poster og sms-er.
Bilklager.no sier de hjelper kunder med å vinne frem i klagesaker.
Ser etter sårbarheter
Selskapet Dale jobber for, leter etter sikkerhetshull hos bedrifter. På oppdrag for kunder ser de etter sårbarheter i IT-systemer.
– Jobben går ut på å finne svakheter før kriminelle, slik at bedrifter og mennesker kan reparere svakhetene før de blir utnyttet, sier Dale.
Det kalles penetrasjonstesting og er en måte for selskaper å ligge «et hestehode foran» ondsinnede hackere.
– Vi jobber som kriminelle på vegne av kunder, sier han.
Dale sier han var på oppdrag for et annet selskap da han ved en tilfeldighet kom over de åpent tilgjengelige filene hos Bilklager.
– Ikke uvanlig
De aktuelle filene fra Bilklager var lagret i skytjenesten til Amazon, som ikke var sikret på riktig måte.
Årsaken til dette kan være så enkel som at den som har satt opp systemet, ikke har huket av for riktig innstilling, forteller Melvin Langvik, sikkerhetskonsulent i TrustedSec.
– Det er dessverre ikke uvanlig, sier han.
Filer fra nettsiden Bilklager.no var offentlig tilgjengelig på internett.
Foto: Julie Helene Günther / NRK– Vi ser svært alvorlig på påstanden om at informasjon om våre kunder skal ha vært offentlig tilgjengelig, og vi jobber intenst med å teste systemene våre og med å legge inn enda flere lag av sikkerhet, sier Dag Rune Flåten, som driver Bilklager.
Han nektet for at filene var offentlig tilgjenelig og har flere ganger påpekt til NRK at det er svært lite sannsynlig at de kan ha havnet på avveier.
– Utviklerne våre har gått gjennom systemet flere ganger nå, og finner det fremdeles svært usannsynlig at det kan ha vært innbrudd i Bilklagers systemer eller at vi har hatt manglende sikkerhetsrutiner, og at informasjon derfor er kommet på avveier, sier Flåten.
Etter at NRK påpekte at filene fortsatt var tilgjengelige, sluttet lenkene som NRK har hatt tilgang til å fungere.
Flåten opplyser til NRK at han har informert Datatilsynet og kunder om hendelsen.
Ber myndighetene ta grep
Dale i River Security varslet Datatilsynet om sikkerhetsbruddet i mars.
Det var ikke før NRK tok kontakt med selskapet at filene faktisk ble sikret.
Dale mener myndighetene må ta et større ansvar for å reagere når sikkerhetshull som dette blir oppdaget.
– Jeg er ikke ute etter å ta noen. Dette er bare en debatt som bør tas, sier Dale.
Et skjermbilde av nettsiden til Bilklager.no
Faksimile: Skjermdump av nettsidenDatatilsynet er ansvarlig for håndhevelsen av personopplysningsloven (GDPR). De fører tilsyn mot selskaper som bryter lovverket.
Spesialrådgiver i Datatilsynet, Eirik Gulbrandsen, forteller at Datatilsynet årlig mottar i overkant av 6000 meldinger om brudd på personopplysningssikkerhet, samt klagesaker og tipssaker.
– Det jobbes systematisk for å kartlegge og prioritere hvilke av disse sakene som følges opp og behandles av tilsynet, sier Gulbrandsen.
– Å følge opp en større andel av slike saker vil antagelig kreve flere ressurser.
Publisert 11.10.2025, kl. 07.45
English (US) ·