Brotist var inn í netkerfi Strætó í lok desember og viðkvæmum gögnum stolið. Hér fyrir neðan er að finna tilkynningar og nýjustu upplýsingar úr rannsókn á netárásinni.

Upplýsingar uppfærðar 18. janúar 2022


Uppfærður listi netkerfa og gagna sem árásaraðilar komust í 19. janúar 2022

Líkt og áður hefur komið fram varð Strætó fyrir netárás í lok desember. Rannsókn málsins er á lokastigi og fram hefur komið skýrari mynd á þeim gögnum og netkerfum Strætó sem árásaraðilarnir komust í. Hér fyrir neðan er uppfærður listi:

  • Afrit af þjóðskrá: þar sem finna má upplýsingar um einstaklinga sem eru eða hafa verið skráðir til lögheimilis á Íslandi og íslenska ríkisborgara búsetta erlendis, þ.e. upplýsingar um nafn, kennitölu, kyn, lögheimili, hjúskaparstöðu, fjölskyldunúmer, birtingarnafn, og bannmerkingu auk nafns og kennitölu maka.
  • Afrit af kerfiskennitöluskrá: þar sem finna má upplýsingar um erlenda ríkisborgara sem eru eða hafa verið búsettir á Íslandi án lögheimilis, þ.e. upplýsingar um nafn, kerfiskennitölu, kyn, dvalarstað, dagsetningu nýskráningar, númer viðkomandi í skránni og birtingarnafn.
  • Bókhaldskerfi Strætó: þar sem finna má tengiliðaupplýsingar forsvarsmanna birgja, samstarfsaðila og verktaka, sem og afrit af reikningum.
  • Málaskrá Strætó: þar sem finna má afrit af erindum og fyrirspurnum frá almenningi, tengiliðaupplýsingar forsvarsmanna birgja, samstarfsaðila og verktaka, sem og afrit af umsóknargögnum umsækjenda um störf .
  • Mannauðs- og launakerfi Strætó: þar sem finna má tengiliðaupplýsingar, reikningsupplýsingar,  launaupplýsingar, ráðningarsamninga og önnur mannauðstengd gögn núverandi og fyrrverandi starfsfólks. Þar á meðal eru upplýsingar sem teljast viðkvæmar í skilningi persónuverndarlaga, m.a. upplýsingar um stéttarfélagsaðild, sakavottorð og upplýsingar um veikindaskráningar.
  • Skjaladrif Strætó: þar sem finna má upplýsingar um núverandi og fyrrverandi verktaka og starfsmenn núverandi og fyrrverandi verktaka Strætó. Þar á meðal eru upplýsingar sem teljast viðkvæmar í skilningi persónuverndarlaga, m.a. afrit sakavottorða.
  • Viðhaldskerfi: þar sem finna má upplýsingar um hvaða starfsmenn hafa sinnt viðhaldi á ökutækjum Strætó og á hvaða tíma.
  • Móttökukerfi: þar sem finna má upplýsingar um einstaklinga sem heimsótt hafa skrifstofur Strætó, þ.e upplýsingar um nafn (yfirleitt fornafn aðeins skráð), upplýsingar um hvaða starfsmann viðkomandi er að fara hitta og upplýsingar um tímasetningu og lengd fundar.
  • Símtalakerfi: þar sem finna má upplýsingar um hljóðupptökur símtala sl. 90 daga áður en árásin átti sér stað auk upplýsinga um símanúmer símtala.

Við ítrekum að ekkert bendir til þess að árásaraðilarnir hafi eða geti misnotað þessar upplýsingar, en ekki er hægt að útiloka að upplýsingarnar hafi verið afritaðar og verði birtar opinberlega af hálfu umræddra aðila. Persónuvernd hefur verið tilkynnt um málið og er Strætó í stöðugum samskiptum við stofnunina vegna þess.

Ef einhverjar spurningar vakna varðandi öryggisbrestinn bendum við þér á að hafa samband við persónuverndarfulltrúa Strætó, (personuvernd@straeto.is).

Sigurður Már Eggertsson


Tilkynning til fyrrum starfsmanna 18.01.2022

Þessar upplýsingar eru sérstaklega ætlaðar fyrrverandi starfsmönnum Strætó.

Eins og komið hefur fram í fréttum varð Strætó fyrir fjandsamlegri netárás frá erlendum árásaraðilum í lok desember sem náðu að brjóta sér leið inn í kerfi Strætó og afrita gögn og upplýsingar sem þar eru að finna.

Viðkomandi aðilar kröfðu Strætó um greiðslu og hótuðu ellegar að leka viðkomandi gögnum. Í samræmi við leiðbeiningar netöryggissveitar varð Strætó ekki við slíkum kröfum en ekkert bendir þó til þess að árásaraðilarnir hafi staðið við hótanir sínar og birt upplýsingarnar.

Frá því að öryggisbresturinn kom upp hafa sérfræðingar á vegum Strætó rannsakað brestinn og gripið hefur verið til umfangsmikilla ráðstafana til að loka á aðgang umræddra aðila og takmarka áhrif á réttindi og frelsi þeirra einstaklinga sem Strætó vinnur upplýsingar um.

Með tilkynningu þessari leitast Strætó hins vegar eftir því að upplýsa alla fyrrverandi starfsmenn, hvaða flokkar persónuupplýsinga kunna að vera undir.

Þær upplýsingar sem um er að ræða eru einkum:

  • Grunn- og tengiliðaupplýsingar, þ.e. upplýsingar um nafn, kennitölu, heimilisfang, netfang, símanúmer og upplýsingar um nánasta aðstandanda
  • Ljósmyndir
  • Afrit af starfsumsókn og fylgigögnum
  • Afrit af ráðningarsamningi
  • Afrit af launaseðlum og aðrar launaupplýsingar, þ.e. fjárhæð launa, reikningsupplýsingar, upplýsingar um greiðslur í stéttarfélag og lífeyrissjóð (7 ár aftur í tímann, frá því að öryggisbresturinn varð)
  • Afrit af áminningum, kvörtunum, starfslokasamningum, uppsagnarbréfum o.þ.h., eftir því sem við á
  • Upplýsingar úr sakavottorði, eftir því sem við á
  • Afrit af ökuskírteini, eftir því sem við á
  • Afrit af vaktaplani
  • Afrit af tímaseðlum og tímaskýrslum, þ.e. upplýsingar um viðveru og fjarveru, s.s. vegna veikinda eða orlofs
  • Upplýsingar um veikindadaga (ekki upplýsingar um ástæðu veikinda)
  • Afrit af launagreiningum
  • Afrit af útlögum kostnaði (afrit af reikningi), eftir atvikum
  • Afrit af vottorðum vinnuveitanda
  • Afrit af vottorðum launagreiðanda
  • Afrit af starfsmannasamtölum, s.s. um frammistöðu og starfsþróun
  • Afrit af samskiptum við mannauðsdeild, eftir því sem við á
  • Afrit af upplýsingum um samskiptavanda á vinnustað, s.s. tilkynningar um einelti, áreitni og ofbeldi á vinnustað og upplýsingar um greiningu slíkra mála og niðurstöður
  • Afrit af samskiptum í ágreiningsmálum, þ.m.t. í gegnum stéttarfélög og lögmenn
  • Upplýsingar um viðhald tilgreindra starfsmanna á tilgreindum ökutækjum Strætó, eftir því sem við á
  • Afrit af upplýsingum úr Þjóðskrá, þ.e. upplýsingar um nafn, kennitölu, kyn, lögheimili, ríkisfang, fjölskyldunúmer, hjúskaparstöðu, nafn og kennitölu maka, birtingarnafn og bannmerkingu
  • Afrit af upplýsingum úr kerfiskennitöluskrá, þ.e. upplýsingar um nafn og birtingarnafn, dvalarstað, dagsetningu nýskráningar og númer viðkomandi í skránni. Þá er í kerfinu að finna upplýsingar um kennitölu þess aðila sem biður um kerfiskennitölu fyrir hinn skráða, en slíkir aðilar geta eftir atvikum verið einstaklingar
  • Afrit af persónulegum drifum starfsmanna/fyrrverandi starfsmanna sem hafa að geyma þau gögn sem viðkomandi aðilar hafa vistað þar

Vinsamlegast athugið að ekki er um tæmandi talningu á upplýsingum að ræða en ofangreind upptalning ætti að ná yfir langflesta flokka persónuupplýsinga sem vistaðar voru í mannauðstengdum kerfum og drifum sem árásaraðilarnir komust yfir. Að sama skapi er ekki víst að allir flokkarnir eigi við um alla fyrrverandi starfsmenn Strætó.

Sérstök athygli er vakin á aðgangi árásaraðilanna að upplýsingum sem teljast viðkvæmar í skilningi persónuverndarlaga, þ.e. upplýsingar um stéttarfélagsaðild, upplýsingar um veikindaskráningar, sem kunna að flokkast sem heilsufarsupplýsingar í skilningi laganna, sem og upplýsingar um sakavottorð.

Rannsókn málsins hefur ekki bent til þess að árásaraðilarnir muni geta misnotað upplýsingarnar og á þessu stigi er ekki talin ástæða fyrir þig að grípa til sérstakra ráðstafana.

Ef einhverjar spurningar vakna varðandi öryggisbrestinn bendum við þér á að hafa samband við persónuverndarfulltrúa Strætó, (personuvernd@straeto.is).


Tilkynning um innbrot í netkerfi og aðgengi að þjóðskrárgrunnum Strætó 11. janúar 2022

Líkt og áður hefur komið fram varð Strætó fyrir netárás í lok desember. Rannsókn málsins er nú á lokastigi og komið hefur í ljós að árásaraðilarnir komust yfir aðgang að gagnagrunnum Strætó sem hafa að geyma afrit af upplýsingum úr Þjóðskrá og kerfiskennitöluskrá, auk aðgangs að þeim kerfum og upplýsingum sem áður hefur verið upplýst um.

Nánar tiltekið er um að ræða eftirfarandi upplýsingar:

  • Þjóðskrá: þar sem finna má upplýsingar um einstaklinga sem eru eða hafa verið skráðir til lögheimilis á Íslandi og íslenska ríkisborgara búsetta erlendis, þ.e. upplýsingar um nafn, kennitölu, kyn, lögheimili, hjúskaparstöðu, fjölskyldunúmer, birtingarnafn, og bannmerkingu auk nafns og kennitölu maka.
  • Kerfiskennitöluskrá: þar sem finna má upplýsingar um einstaklinga sem eru eða hafa verið búsettir á Íslandi án lögheimilis, þ.e. upplýsingar um nafn, kerfiskennitölu, kyn, dvalarstað, dagsetningu nýskráningar, númer viðkomandi í skránni og birtingarnafn.

Ekkert bendir til þess að árásaraðilarnir hafi eða geti misnotað þessar upplýsingar, en ekki er hægt að útiloka að upplýsingarnar hafi verið afritaðar og verði birtar opinberlega af hálfu umræddra aðila.  Persónuvernd hefur verið tilkynnt um málið og er Strætó í stöðugum samskiptum við stofnunina vegna þess.

Unnið er hörðum höndum við að klára rannsókn málsins og munu uppfærðar upplýsingar birtast hér á heimasíðu Strætó eftir því sem rannsókninni miðar áfram.

Nánari upplýsingar um öryggisbrest þennan veitir persónuverndarfulltrúi Strætó, í gegnum netfangið personuvernd@straeto.is.


Uppfærður listi netkerfa 11. janúar 2022

Eftir nánari rannsókn á netárásinni þá hefur komið fram skýrari mynd á netkerfum Strætó sem árásaraðilarnir komust í. Hér fyrir neðan er uppfærður listi:

  • Afrit af þjóðskrá: þar sem finna má upplýsingar um einstaklinga sem eru eða hafa verið skráðir til lögheimilis á Íslandi og íslenska ríkisborgara búsetta erlendis, þ.e. upplýsingar um nafn, kennitölu, kyn, lögheimili, hjúskaparstöðu, fjölskyldunúmer, birtingarnafn og bannmerkingu auk nafns og kennitölu maka.
  • Afrit af kerfiskennitöluskrá: þar sem finna má upplýsingar um einstaklinga sem eru eða hafa verið búsettir á Íslandi án lögheimilis, þ.e. upplýsingar um nafn, kerfiskennitölu, kyn, dvalarstað, dagsetningu nýskráningar, númer viðkomandi í skránni og birtingarnafn.
  • Launakerfi Strætó þar sem finna má tengiliðaupplýsingar, reikningsupplýsingar og launaupplýsingar núverandi og fyrrverandi starfsfólks Strætó.
  • Mannauðskerfi Strætó þar sem finna má tengiliðaupplýsingar, ráðningarsamninga og önnur mannauðstengd gögn fyrrverandi og núverandi starfsfólks Strætó.
  • Málaskrá Strætó þar sem finna má afrit af erindum og fyrirspurnum frá almenningi, tengiliðaupplýsingar forsvarsmanna birgja, samstarfsaðila og verktaka, sem og afrit af umsóknargögnum umsækjenda um störf .
  • Bókhaldskerfi Strætó þar sem finna má tengiliðaupplýsingar forsvarsmanna birgja, samstarfsaðila og verktaka, sem og afrit af reikningum.
  • Móttökukerfi þar sem finna má upplýsingar um einstaklinga sem heimsótt hafa skrifstofur Strætó, þ.e upplýsingar um nafn (yfirleitt fornafn aðeins skráð), upplýsingar um hvaða starfsmann viðkomandi er að fara hitta og upplýsingar um tímasetningu og lengd fundar.
  • Netkerfi Strætó þar sem finna má upplýsingar um hljóðupptökur símtala sl. 90 daga áður en árásin átti sér stað .

Tilkynningin frá 5. janúar hefur einnig verið uppfærð.


Árásaraðilar komust í gögn tengd notendum akstursþjónustu Strætó 10. janúar 2022

Líkt og komið hefur fram í fréttum varð Strætó fyrir fjandsamlegri netárás frá erlendum árásaraðilum í lok desember sem náðu að brjóta sér leið inn í kerfi Strætó og afrita gögn og upplýsingar sem þar eru að finna.

Komið hefur í ljós að árásaraðilarnir komust yfir kerfi Strætó sem hýsir gögn er tengjast akstursþjónustu sem Strætó hefur sinnt fyrir hönd tilgreindra sveitarfélaga á tímabilinu 2014-2021. Er tilkynning þessi send út í samvinnu við Garðabæ, Hafnarfjarðarbæ, Kópavogsbæ, Mosfellsbæ, Reykjavíkurborg og Seltjarnarnesbæ.

Þær upplýsingar sem aðgengilegar voru árásaraðilum í tengslum við þessa þjónustu eru eftirfarandi:

  • Um notendur þjónustunnar: nafn, kennitala, heimilisfang og eftir atvikum símanúmer og/eða netfang. Upplýsingar um þjónustuþarfir og sérþarfir notenda, upplýsingar um aðstoð fylgdarmanns og notkun hjálpartækja, afrit af ferðapöntunum og reikningum, afrit af erindum og fyrirspurnum auk afrita af tölvupóstsamskiptum, eftir atvikum.
  • Um forráðamenn og tengiliði notenda þjónustunnar: nafn, kennitala, símanúmer, netfang og tengsl við notendur auk afrita af erindum, fyrirspurnum og tölvupóstsamskiptum, eftir atvikum. Upplýsingar um hvort viðkomandi skuli hafa aðgang að ferðaupplýsingum notenda.

Eins og komið hefur fram, þá hafa árásaraðilarnir krafið Strætó um greiðslu og hótað því að leka viðkomandi gögnum verði Strætó ekki við kröfum þeirra. Í samræmi við leiðbeiningar netöryggissveitar Íslands mun Strætó ekki verða við þeim kröfum.

Persónuvernd hefur verið tilkynnt um málið og hafa sveitarfélögin og Strætó verið í miklum samskiptum við stofnunina vegna þessa og haldið henni upplýstri.

Rannsókn stendur enn yfir

Rannsókn málsins stendur enn yfir og gripið hefur verið til umfangsmikilla ráðstafana til að loka á aðgang umræddra aðila og takmarka áhrif á réttindi og frelsi þeirra einstaklinga sem Strætó vinnur upplýsingar um. Má þar nefna lokun á aðgangi tilgreindra IP talna og tilgreindra aðganga að kerfum Strætó sem og endurræsingu á lykilorðum þeirra aðila sem aðgang hafa í kerfi Strætó.

Ekkert bendir til þess að árásaraðilarnir hafi eða geti misnotað þessar upplýsingar, en ekki er hægt að útiloka að upplýsingarnar verði birtar opinberlega af hálfu umræddra aðila.

Strætó harmar að þessi innrás hafi átt sér stað og unnið er hörðum höndum við að klára rannsókn málsins og munu uppfærðar upplýsingar birtast á vefsíðu þjónustunnar, www.pant.is, eftir því sem rannsókninni miðar áfram.

Nánari upplýsingar um öryggisbrest þennan veitir persónuverndarfulltrúi Strætó, í gegnum netfangið personuvernd@straeto.is.

 

Sigurður Már Eggertsson


Tilkynning frá 5. janúar 2022

Líkt og komið hefur fram í fréttum varð Strætó fyrir fjandsamlegri netáras frá erlendum árásaraðilum í lok desember.  Árásaraðilarnir náðu að brjóta sér leið inn í kerfi Strætó og afrita gögn og upplýsingar sem þar eru að finna. Viðkomandi árásaraðilar hafa krafið Strætó um greiðslu en hótað því að leka viðkomandi gögnum verði Strætó ekki við kröfum árásaraðilanna. Í samræmi við leiðbeiningar netöryggissveitar Íslands mun Strætó ekki verða við þeim kröfum. Persónuvernd hefur verið tilkynnt um málið og er Strætó í stöðugum samskiptum við stofnunina vegna þess.

Rannsókn málsins stendur enn yfir og gripið hefur verið til umfangsmikilla ráðstafana til að loka á aðgang umræddra aðila og takmarka áhrif á réttindi og frelsi þeirra einstaklinga sem Strætó vinnur upplýsingar um. Má þar nefna lokun á aðgangi tilgreindra IP talna og tilgreindra aðganga að kerfum Strætó sem og endurræsingu á lykilorðum þeirra aðila sem aðgang hafa í umrædd kerfi.

Þau kerfi sem árásaraðilarnir hafa fengið aðgang að eru eftirfarandi:

Listi uppfærður 19. janúar 2022

  • Afrit af þjóðskrá: þar sem finna má upplýsingar um einstaklinga sem eru eða hafa verið skráðir til lögheimilis á Íslandi og íslenska ríkisborgara búsetta erlendis, þ.e. upplýsingar um nafn, kennitölu, kyn, lögheimili, hjúskaparstöðu, fjölskyldunúmer, birtingarnafn, og bannmerkingu auk nafns og kennitölu maka.
  • Afrit af kerfiskennitöluskrá: þar sem finna má upplýsingar um erlenda ríkisborgara sem eru eða hafa verið búsettir á Íslandi án lögheimilis, þ.e. upplýsingar um nafn, kerfiskennitölu, kyn, dvalarstað, dagsetningu nýskráningar, númer viðkomandi í skránni og birtingarnafn.
  • Bókhaldskerfi Strætó: þar sem finna má tengiliðaupplýsingar forsvarsmanna birgja, samstarfsaðila og verktaka, sem og afrit af reikningum.
  • Málaskrá Strætó: þar sem finna má afrit af erindum og fyrirspurnum frá almenningi, tengiliðaupplýsingar forsvarsmanna birgja, samstarfsaðila og verktaka, sem og afrit af umsóknargögnum umsækjenda um störf .
  • Mannauðs- og launakerfi Strætó: þar sem finna má tengiliðaupplýsingar, reikningsupplýsingar,  launaupplýsingar, ráðningarsamninga og önnur mannauðstengd gögn núverandi og fyrrverandi starfsfólks. Þar á meðal eru upplýsingar sem teljast viðkvæmar í skilningi persónuverndarlaga, m.a. upplýsingar um stéttarfélagsaðild, sakavottorð og upplýsingar um veikindaskráningar.
  • Skjaladrif Strætó: þar sem finna má upplýsingar um núverandi og fyrrverandi verktaka og starfsmenn núverandi og fyrrverandi verktaka Strætó. Þar á meðal eru upplýsingar sem teljast viðkvæmar í skilningi persónuverndarlaga, m.a. afrit sakavottorða.
  • Viðhaldskerfi: þar sem finna má upplýsingar um hvaða starfsmenn hafa sinnt viðhaldi á ökutækjum Strætó og á hvaða tíma.
  • Móttökukerfi: þar sem finna má upplýsingar um einstaklinga sem heimsótt hafa skrifstofur Strætó, þ.e upplýsingar um nafn (yfirleitt fornafn aðeins skráð), upplýsingar um hvaða starfsmann viðkomandi er að fara hitta og upplýsingar um tímasetningu og lengd fundar.
  • Símtalakerfi: þar sem finna má upplýsingar um hljóðupptökur símtala sl. 90 daga áður en árásin átti sér stað auk upplýsinga um símanúmer símtala.

Ekkert bendir til þess að árásaraðilarnir hafi eða geti misnotað þessar upplýsingar, en ekki er hægt að útiloka að upplýsingarnar verði birtar opinberlega af hálfu umræddra aðila.

Strætó harmar að þessi innrás hafi átt sér stað og unnið er hörðum höndum við að klára rannsókn málsins og munu uppfærðar upplýsingar birtast hér á heimasíðu Strætó eftir því sem rannsókninni miðar áfram.

Tekið skal fram að Strætó vinnur jafnframt með persónuupplýsingar sem svokallaður vinnsluaðili fyrir hönd annarra aðila, svokallaðra ábyrgðaraðila.  Hvað varðar mögulegan aðgang árásaraðila að þeim upplýsingum munu viðkomandi ábyrgðaraðilar tilkynna hlutaðeigandi aðilum um slíkan öryggisbrest, eftir því sem við á.

Nánari upplýsingar um öryggisbrest þennan veitir persónuverndarfulltrúi Strætó, Sigurður Már Eggertsson, í gegnum netfangið personuvernd@straeto.is.

Sigurður Már Eggertsson