Öryggisbrestur í vefkerfi

13. okt 2023

OR
Orkuveita Reykjavíkur
© Einar Örn Jónsson

Orkuveita Reykjavíkur hefur tilkynnt Persónuvernd um öryggisbrest í vefkerfi sem varð þess valdandi að óviðkomandi sá orkureikninga um 5.000 viðskiptavina Veitna. Langflest tilvikin eru yfir þriggja daga tímabil í mars 2021 þar sem sami aðili fletti upp reikningum annarra viðskiptavina með kerfisbundnum hætti. Unnið er að því að upplýsa þá viðskiptavini sem um ræðir og hefur málið verið kært til lögreglu.

Frá árinu 2013 hafa viðskiptavinir getað nálgast upplýsingar um orkunotkun sína og reikninga með rafrænum hætti á vefnum. Mínar síður heitir þjónustan og er hún í boði hvorttveggja hjá Veitum og Orku náttúrunnar. Bæði fyrirtækin eru í eigu Orkuveitu Reykjavíkur. Eftir ábendingu viðskiptavinar var sannreynt að ef notandi var skráður inn á Mínar síður gat hann kallað upp pdf-útgáfu af reikningum annarra með því að breyta lítillega vefslóðinni á eigin reikninga. Hvaða reikningur birtist var þó handahófskennt þannig að ekki var hægt að leita uppi reikninga tiltekins viðskiptavinar.

Viðbrögð Orkuveitu Reykjavíkur við þessu fólust meðal annars í því að loka strax fyrir þjónustuna og gera Persónuvernd sem og þjónustuaðila veflausnarinnar, sem er Origo, viðvart, enda málið litið alvarlegum augum. Þá var ráðist í greiningu á því hvort og þá að hve miklu leyti einhver kynnu að hafa nýtt sér öryggisbrestinn með ólögmætum hætti. Niðurstaða hennar var að þetta snertir 4.866 viðskiptavini hjá Veitum og 2 hjá Orku náttúrunnar.

Framundan er óháð öryggisúttekt á Mínum síðum ON og Veitna í góðri samvinnu við Origo og mun umrædd virkni ekki fara í loftið fyrr en þeirri úttekt er lokið.