Fant fremmede billetter på sin SAS-konto

Trond Hovland (innfelt) er sjokkert over manglende datasikkerhet hos SAS. Foto: Knut-Erik Mikalsen/Privat

Da Trond Hovland skulle sjekke billettene han hadde kjøpt hos SAS, fikk han seg litt av et sjokk. Inne på hans side lå det to billetter som tilhørte vilt fremmede mennesker. -Ikke veldig tillitsvekkende om sikkerheten i SAS-systemet, sier han.

Også hos SAS er man svært overrasket over det som skjedde med Hovland, og reagerte straks på avsløringen av den alvorlige datafeilen.

Hovland er kritisk til SAS sin håndtering av saken.

Historien er denne:

Hovland hadde bestilt billetter til en tur til Hellas, og skulle bare forsikre seg om at alt var i orden, da han for noen dager siden logget seg inn på sine Euro Bonus-sider hos SAS.

Der skulle billettene ligge.

Men når han åpner siden, finner han billetter som var han totalt ukjent:

-Her var det to billetter for to flyreiser innen Sverige. De tilhørte to menn, den ene visstnok tilknyttet det svenske forsvaret. Det dreide seg om billetter mellom Gøteborg og Luleå. Ingen av billettene var mine, forteller Hovland til flysmart24.no.

Han tok straks kontakt med SAS for å finne ut hvordan det var mulig at disse billettene, som selvsagt var han helt uvedkommende, kunne havne på hans bonuskonto hos SAS.

– Jeg ble henvist til den ene personen etter den andre, uten at noen kunne gi meg et svar. Til slutt havnet jeg hos billettbestillingen. Der sa de at jeg bare skulle glemme hele greia og at feilen ville bli rettet. Det ville jeg absolutt ikke gjøre. Jeg ble forsikret om at jeg ikke skulle bli belastet for de to billettene. Men hvordan kunne jeg være sikker på det? spør Hovland.

Dette, mente han, avslørte en alvorlig feil i datasikkerheten hos SAS og kunne også være en feil som kunne ramme andre.

Hos SAS er man svært overrasket over det som har skjedd og har nå sjekket opp Hovlands historie.

Informasjonssjef Knut Morten Johansen sier til flysmart24.no at det ligger «et utrolig sammentreff» bak feilen. SAS har vært i kontakt med Hovland i etterkant avsløringen.

Johansen forteller at billettene ble bestilt hos et svensk reisebyrå. Der har det unike kundenummeret hos reisebyrået tilfeldigvis de samme sifrene som Hovland har på sin bonuskonto hos SAS.

Da SAS laget sine nye nettsider, ble det også opprettet en funksjon som gjorde at alle kundens bestillinger skulle legge seg inn på bonussiden til vedkommende. Dette skulle også skje når bestillingene ble gjort i et reisebyrå.

– Dermed førte det til at billettene havnet på Hovlands konto, der de selvsagt ikke skulle ligge. Risikoen for at dette skulle kunne skje er ekstremt liten, og trolig har det aldri blitt sett før, sier Johansen.

Andre sperrer skulle ha likevel ha hindret at de fremmede billettene kunne havne på Hovlands konto. Det gjorde det ikke.

Han sier at episoden med Hovland betraktes av SAS som en svakhet.

– Derfor ble det umiddelbart tatt grep i denne saken. Nå er det lagt inn ytterligere elementer som skal matche ved billettbestilling og den funksjonen er nå på plass slik at vi skal unngå at noe slikt skjer igjen, sier Johansen.

Lik flysmart24.no på Facebook