Valus-sag afvist af Datatilsynet

Sikkerhedsfejlene, der opstod ved åbningen af mikrobetalingssystemet Valus, var ubetydelige, mener Datatilsynet, som ikke vil gøre mere ved sagen. Hundredetusinder af angreb mod Valus-serverne har bevist, at sikkerheden er i orden. Her er gennemgangen af, hvad der skete.

Datatilsynet har intet at udsætte på de fejl, som mikrobetalingssystemet Valus udsatte sine brugere for ved åbningen i maj. Det fremgår af en frisk afgørelse fra tilsynet.

Tumult ved Valus-åbningen

22. maj 2002 kl. 11.00

Valus præsenteres på et pressemøde og åbnes straks efter.

22. maj kl. 22.00

En læser på Computerworld Onlines debatforum afslører, hvordan man ved at ændre et nummer i internetadressen kan se andre Valus-brugeres betalinger.

23. maj kl. 8.00

Den første fejl er rettet.

23. maj kl. 16.41

En anden læser afslører i debatforummet, hvordan man kan lægge Valus-serveren ned. Man skal blot trykke på et link, der udfører en Shutdown-kommando.

23. maj kl. 17.04

En læser trykker på linket og lægger Valus-serveren ned.

23. maj kl. 17.06

En anden læser trykker på linket.

23. maj kl. 17.15

Den sårbare server erstattes med en statisk side, der ikke kan angribes.

23. maj kl. 17.15-02.00

Serveren ses efter for fejl, hvorpå den sættes tilbage i drift. Betalingssystemet er fortsat tilgængeligt.

23. maj-26. maj

Angrebene tager til i styrke. Nogen opdager, at Valus-systemet er todelt og prøver at angribe betalingssystemet, hjertet i Valus, dog uden held.

Valus logger hundredetusindevis af scanninger og angrebsforsøg. Ingen af disse angreb lykkes dog.

Ét sikkerhedshul gjorde det muligt at se, hvad andre personer havde købt gennem systemet og endda, hvem der havde overført penge til hvem.

Et andet hul betød, at en bruger med en speciel kommando, der blev afsløret i Computerworld Onlines debatforum, kunne lukke en af Valus-serverne.

I et syv sider langt brev, som Computerworld Online er i besiddelse af, forklarer Den norske Bank, der ejer selskabet bag Valus, hvad der gik galt i dagene efter åbningen af Valus den 22. maj.

Forklaringen er en lang gennemgang af, hvordan sjusk hos de norske web-udviklere og en dårlig netkultur fra brugernes side, hvor én sikkerhedsfejl udløste en ufattelig mængde angreb for at finde nye sikkerhedshuller, gav Valus den værst tænkelige fødsel.

Den norske Bank fremhæver, at kun testpersoner fra banken selv og dens partnere - softwarefirmaet og datterselskabet Netaxept samt konsulentfirmaet Accenture - blev afsløret med navns nævnelse, når de overførte penge til hinanden.

Menneskelig fejl

De fleste transaktioner, som enhver bruger kunne se, indeholdt blot oplysninger om, at en anonym person havde købt for eksempel en ringetone hos TV2.dk.

- Programmeringsfejlen blev ikke afdækket på grund af en fejl i såkaldte testscript og testbetingelser, og fordi en særskilt test ikke blev gennemført igen. Fejlen skyldes en menneskelig fejl, hvorfor rutinerne for gennemgang af testplaner, testbetingelser og relaterede processer er blevet skærpet, skriver Den norske Bank i brevet til Datatilsynet.

Datatilsynet synes ikke, at det ud fra "konsekvensen og omfanget af den konstaterede brist og bankens håndtering af de nævnte hændelser" er "grundlag for at udtale kritik af Den norske Bank."

Systemskitse over Valus.
Valus består af to adskilte dele. Informationssiderne kunne kontrolleres udefra, men det ramte aldrig det fatale betalingssystem, siger Den norske Bank, der vedlagde denne skitse til sit brev til Datatilsynet. Grafik: IDG.
Frikendelsen skyldes ikke mindst, at Valus-systemet er todelt, så ingen har på noget tidspunkt haft adgang til at ændre de følsomme oplysninger i det bagvedliggende betalingssystem. Det har kun været muligt at udføre kommandoer på informationssiderne, der er Valus-systemets ansigt udadtil.

Fejlen, der lukkede Valus-informationssiderne, blev afsløret under et af de mange hundredtusinder af angreb og angrebsforsøg, der fulgte de første sikkerhedshuller.

Men systemet holdt skansen, da de første fejl var rettet.

Forbrugerombudsmanden har også modtaget en redegørelse fra Den norske Bank, men har endnu ikke besluttet, om Valus-fejlene har udsat brugernes kontooplysningerne for nogen risiko.

Valus-systemet blev på et tidspunkt lukket ned kortvarigt, fordi Den norske Bank ville være helt sikker på at have en brugbar log-fil over alle hackerangrebene. Den log-fil blev overdraget til politiet, der foreløbig har rejst fire sigtelser og fået en hacker dømt.

Relevant link:

Datatilsynets afgørelse

Annonceindlæg fra Barco

De vigtigste samarbejdstrends, som enhver IT-leder bør holde øje med

I lang tid har samarbejdsbranchen fokuseret på at forbedre enhedsfunktioner – bedre kameraer, klarere lyd og smartere software. Men den virkelige forvandling handler ikke om funktioner.

Navnenyt fra it-Danmark

Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

Nihad Hodzic

Trafikstyrelsen

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S

Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

Jeppe Spanggaard

Pinksky ApS