Oslo (NTB): Regjeringen stanser arbeidet med datalagringsdirektivet etter EU-domstolens knusende dom over det omstridte direktivet denne uken.

Det bekrefter samferdselsminister Ketil Solvik-Olsen (Frp) og statsminister Erna Solberg (H) overfor Dagbladet.

– Regjeringen tar domstolsvedtaket i EU til følge og legger arbeidet med datalagringsdirektivet på is. Vi sender brev til Stortinget om det i dag, sier samferdselsministeren fredag.

EU-domstolen i Luxembourg erklærte tirsdag datalagringsdirektivet for ugyldig og mener det bryter med EU-borgernes grunnleggende rettigheter.

Direktivet er med støtte fra Høyre og Arbeiderpartiet vedtatt innført i Norge.

Kristelig Folkeparti, Venstre, Senterpartiet, Sosialistisk Venstreparti og Miljøpartiet De Grønne krevde torsdag full stans i iverksettelsen av direktivet som følge av EU-domstolens avgjørelse.

Statsminister Solberg slo allerede i Stortingets spørretime onsdag fast at direktivet nå ikke lenger eksisterer og derfor ikke kan iverksettes. (©NTB)

Som digi.no skrev i går, har Condoleezza Rice blitt valgt til nytt styremedlem i Dropbox. Det er gjerne slik at styremedlemmer kommer og går i mange bedrifter, uten at særlig mange legger spesielt merke til det. Men det er tydelig at valget av Rice både har vekket forargelse.

Det er Rice’ fortid som nasjonal sikkerhetsrådgiver og utenriksminister under George W. Bush som er årsaken til at mange nå protesterer mot valget av Rice. Det har blitt opprettet et eget Drop Dropbox-nettsted hvor folk oppfordres til å dele en ferdig forfattet melding på Twitter eller Facebook.

I meldingen, som er rettet til Dropbox, heter det at dersom selskapet ikke fjerner Rice fra styret, som vil avsenderen eller avsenderens virksomhet finne seg en annen leverandør av nettskylagring. For øyeblikket går ikke mange sekundene mellom hver gang noen publiserer meldingen eller andre innlegg med hashtaggen #DropDropbox på Twitter.

Det handler ikke om kompetansen til Rice, som det ikke stilles spørsmål ved. Det er etikken som er i søkelyset.

– Når et selskap bokstavelig talt har tilgang til alle dataene din, blir etikken mer enn bare et morsomt tankeeksperiment, kan man lese på Drop Dropbox-nettstedet.

På nettstedet trekkes det blant annet fram at Rice var eller skal ha støttet eller bidratt til både Irak-krigen og torturprogrammet til Bush-administrasjonen. Men i forbindelse med Dropbox er et nok verre at Rice både støttet Patriot Act og autoriserte uhjemlet avlytting av blant annet amerikanske statsborgere uten kjennelse fra en domstol.

– Gitt alt det vi nå vet om USAs uhjemlede overvåkningsprogram, og Rice’ rolle i dette, hvorfor i all verden skulle vi ønske at noen som henne er involvert i Dropbox, en organisasjon som vi overlater våre viktigste forretnings- og persondata til, spørres det på nettstedet.

Det er ikke oppgitt hvem som står bak kampanjen og nettstedet. Domenenavnet ble registrert i går via GoDaddy og Domains By Proxy. På nettstedet ramses det opp en rekke konkurrerende tjenester.

PCMag.com er nær ved å kalle utnevnelsen for en gavepakke til Dropbox’ konkurrenter.

I februar i fjor publiserte det amerikanske IT-sikkerhetsselskapet Mandiant en rapport om globale IT-trusler der de dokumenterte at kinesiske militære medvirker til kyberspionasje. Spionasjen retter seg mot andre land og mot bedrifter. Mandiant pekte ut en høyblokk i Shanghai som de mente huser en av verdens mest avanserte avdelinger for kyberkrigføring og spionasje.

I årets trusselrapport fra Mandiant granskes den militære hackergruppens virksomhet i tiden etter at de ble avslørt. Mandiant ser også på virksomheten til en annen kinesisk hackergruppe som ble tatt på fersken i nettverket til New York Times og avslørt i deres spalter 30. januar.

I Mandiants siste rapport kalles den militære gruppen de avslørte for APT1 («advanced persistent threat»), mens den New York Times avdekket kalles APT12.

Her påvises det at både APT1 og APT12 begge reduserte sin virksomhet etter avsløringene, APT1 i større grad enn APT12. Dette visualiseres i grafen øverst i denne artikkelen: Den røde linjen er aktivitet i 2013, den blå er gjennomsnittet av aktiviteten på tilsvarende datoer årene før.

En annen endring er at APT1 endret IP-adressene knyttet til skadevaren de brukte. Mandiant illustrerer dette slik:

APT1 sluttet med andre ord å bruke sine etablerte IP-adresser straks Mandiant-rapporten var publisert. Det tok dem noen uker før skadevaren fikk ny infrastruktur å forholde seg til.

Tilsvarende endringer ble observert for APT12, selv om New York Times ikke publiserte IP-adressene knyttet til denne gruppens skadevare.

Washington Post har innhentet uavhengige eksperters vurdering av den nye Mandiant-rapporten.

Disse er enige med Mandiant i to hovedkonklusjoner: For det første at kinesiske myndigheter er følsomme for vestlige avsløringer om kyberspionasje. De sørger for at virksomheten trappes ned og legges delvis om i perioder på opptil flere måneder, selv om de utad blånekter for at de overhodet driver med kyberspionasje.

Den andre hovedkonklusjonen er at siden kyberspionasjen tas opp igjen, er gevinsten så stor at den berettiger risikoen den medfører for en alvorlig forverring av forholdet til USA og andre vestlige land.

Tidligere denne uken pekte digi.no på at mange globale nettaktører har opplevd kursras den siste måneden.

I går kveld var amerikanske finanstjenester igjen opptatt av temaet: Nasdaq-indeksen falt med 3,1 prosent, den største dagsnedgangen siden 2011, og ligger nå på samme nivå som ved årsskiftet.

Både Bloomberg og Wall Street Journal er opptatt av det de kaller «tech selloff».

I tillegg til IT, rammes bioteknologiaksjer spesielt hardt.

En kilde til ekstra nervøsitet er tall fra Kina, der det heter at landets eksport falt 6,6 prosent i mars. Bloomberg viser til analytikere som tror den reelle nedgangen er større, og at Kina pynter på statistikken.

Flukten fra teknologiaksjer er ikke begrenset til Amerika. Den europeiske Stoxx 600 Technology Index falt i går og fortsetter å falle i dag. Stjerneaksjen ARM er ned 4,1 prosent.

I Asia rammer kursfallet blant annet Kinas største nettselskap Tencent, som er ned 6,1 prosent, den japanske mobiloperatøren Softbank som har falt 13 prosent denne uken, og Samsung som skulle feiret lanseringen av Galaxy S5 med lyse utsikter og kursoppgang, mens som fortsatte nedgangen utløst av profittvarslet tidligere i uken. Samlet sett er Samsung-aksjen ned 2,7 prosent siden tirsdag.

Nettutstyrsleverandørene Cisco og Juniper advarer at sårbarheten «Heartbleed» i «Heartbeat»-modulen i OpenSSL rammer også systemvaren i flere av deres produkter, blant dem rutere, svitsjer og brannmurer.

Cisco beskriver dette i sikkerhetsvarselet OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products, der de lister hvilke produkter som er rammet og hva slags tiltak er påkrevet for å gjenopprette normal sikkerhet.

Cisco skriver at sårbarheten kan utnyttes til å hente ut deler av minnet til en klient eller til en server, og at dette kan potensielt omfatte også følsom informasjon som private krypteringsnøkler.

Junipers supportside lenker til informasjon om hvordan Heartbleed rammer deres utstyr under overskriften «High Alert». Denne lenken krever brukernavn og passord. Søk på Junipers «Knowledge Center» gir to treff på Heartbleed: Details on fixes for OpenSSL “Heartbleed” issue og Multiple products affected by OpenSSL “Heartbleed” issue. Her kommer det fram at versjon 13.2 og tidligere av Junos OS ikke er sårbar. Versjonen som er sårbar, er Junos OS 13.3R1.

Kryptografi-ekspert Matthew Green ved Johns Hopkins University sier til Wall Street Journal at sårbart nettverksutstyr i brannmurer og VPN-løsninger kan utnyttes av angripere for å infiltrere et nettverk.

Det sårbare utstyret selges til både bedrifter og forbrukere. Cisco og Juniper sier de arbeider på spreng for å framstille systemvarefikser, men advarer at de ikke vet hvor lang tid dette vil ta. Når fikser er klare, kan det også gå tregt å oppdatere selve systemvaren.

Digi.no viste i går til Bruce Schneier, en anerkjent uavhengig kryptograf som også blogger om Heartbleed. Bloggen er nå oppdatert med en advarsel om at det antakelig finnes ikke-oppgraderbare integrerte løsninger som bruker OpenSSL-versjon med Heartbleed-sårbarheten. Da er det i så fall bare én måte å kvitte seg med sårbarheten på: Skrote utstyret og kjøpe nytt.

I en annen oppdatering til den samme bloggen viser Schneier til troverdige indikasjoner på at Heartbleed kan ha blitt utnyttet av etterretningstjenester i november 2013, utover det opprinnelige materialet referert i Ars Technica.

Datasentre er motoren i vårt moderne informasjonssamfunn. Det snakkes ofte om å legge IT-tjenester ut i skyen som om dette er noe som skjer i en sky på himmelen. Faktum er at disse såkalte skytjenestene foregår i store energikrevende datasentre i rundt omkring i verden – bare i Europa sluker datasentre en energimengde som tilsvarer hele den norske elektriske energiproduksjonen på cirka 125 TWh. Nettopp derfor blir datasentervirksomhet
ofte omtalt som vår nye kraftkrevende industri.

Datasentre er store energiforbrukere. Dataserverne og utstyret som benyttes krever mye elektrisk strøm for å fungere. I tillegg må IT-utstyret kjøles – ofte benyttes like mye energi til kjøling som til selve serverdriften.

Norge har fra naturens side sannsynligvis Europas beste forhold for å drive med datasentervirksomhet. Som eneste land produserer vi tilnærmet 100 prosent fornybar, elektrisk energi fra vannkraft, i tillegg har vi et kaldt klima og tilgang på kaldt vann som kan benyttes til kjøling. Likevel er det slik at Google har valgt å plassere ett av sine store datasentre i Hamina i Finland, Facebook valgte Luleå i Sverige og nylig har Microsoft også valgt Finland. Dette er selskaper som har stor fokus på bruk av fornybar energi. I Finland er 31 prosent av den elektriske energien fra fornybare kilder og i Sverige 54 prosent, det øvrige kommer fra atomkraft og kraftverk med fossilt brennstoff.

Finland besluttet nylig å inkludere datasenternæringen i sin definisjon av kraftkrevende industri, og som et resultat ble avgiftene på forbruk av elektrisk kraft redusert med 60 prosent. Dette betyr at finnene reduserer avgiftene med cirka 8 øre per kWh, noe som gir en aktør som Google en årlig besparelse i størrelsesorden 50 millioner kroner.

Norsk forbruksavgift for strøm til ordinær sats utgjør 12,39 øre/kWh. Enkelte sektorer som bergverk, produksjons av fjernvarme og så videre, får en redusert sats som utgjør 0,45 øre/kWh. Kraftintensiv industri som elektrolyse, metallurgiske og mineralogiske prosesser samt energiintensive foretak i treforedlingsindustrien, er fullt ut fritatt fra forbruksavgift i Norge. Finland med sin næringsnøytrale avgiftsordningen har over natten gitt Norge en betydelig konkurranseulempe. Det haster å gjøre noe med dette, dersom norske myndigheter ønsker å utvikle datasentervirksomheten til en fremtidig industri.

De store datasentrene flyttes primært til områder nært fornybar kraftproduksjon for å sikre
god tilgang på kraft og for å unngå tap av energi i overføringsleddet. Videre er det slik at den produksjonen som foregår i et datasenter kan transporteres ved bruk av lys som sendes gjennom fiberkabler til nesten hvor som helst i verden med kun beskjeden bruk av energi.

Etablering av slik virksomhet vil være et viktig norsk bidrag til en grønnere hverdag for Europa og resten av verden.

I Green Mountain har vi bygd et stort datasenter der vi gjenbruker et tidligere NATO-anlegg
på Rennesøy utenfor Stavanger, og vi bygger nå også et nytt datasenter i vannkraftbyen
Rjukan i Telemark. En datasentervirksomhet i seg selv er ikke arbeidsintensiv, vi forventer
15-20 ansatte på Rjukan. Men indirekte bidrar slike sentre til betydelig økonomisk aktivitet i
nærområdet og i landet forøvrig

I et datasenter som det vi nå bygger på Rjukan, vil våre kunder ha IT-utstyr for mangfoldige milliarder kroner i anlegget når det er ferdig utbygd. Dette utstyret skal anskaffes, transporteres, monteres, settes i drift og holdes operativt gjennom hele levetiden. Normal levetid på slikt IT-utstyr er på 3-5 år. Det vil si at etter denne perioden skal alt utstyret demonteres, tas ut og håndteres på en forsvarlig måte samtidig som nytt utstyr igjen skal anskaffes, monteres, settes i drift, og så videre.

Rundt et slikt stort datasenter vil det altså foregå en meget stor økonomisk aktivitet, det kan antas mer enn 2 milliarder kroner hvert eneste år – år etter år. Basert på våre erfaringer er et forsiktig anslag at ringvirkningene vil være på minst 150-200 arbeidsplasser. Det er altså snakk om mange varige kompetansekrevende arbeidsplasser i distriktene og med tilhørende skatteinntekter til kommuner og til landet. I tillegg kommer investeringene i selve byggingen av datasentrene og investeringer i moderne infrastruktur som sikrer at landet som helhet styrker sin robusthet og tilgjengelighet på fiber- og kommunikasjonssiden.

Etter de grep Finland har gjort ved å definere datasenterindustrien som en moderne
kraftkrevende industri, er Norge nødt til å følge opp med tilsvarende grep dersom man ønsker at en slik næring skal kunne utvikle seg også i Norge. Dersom man ikke ønsker slik virksomhet så kan jo alternativet være å overføre kraften og medfølgende arbeidsplasser til datasentre i Sverige og Finland. Da sikres det i hvert fall at datasenteraktører i Sverige og Finland kan bruke vår rene norske vannkraft uten å betale norsk forbruksavgift.

Microsoft er den hittil eneste leverandøren som har fått en slik godkjennelse, hevder selskapets juridiske direktør Brad Smith i en kunngjøring.

– EUs datatilsyn har kommet til at Microsofts kontraktsvilkår for nettskyen er i samsvar med de høye kravene til europeiske personvernlover, skriver han.

Kunngjøringen er basert på et brev (pdf) de har mottatt fra EU-organet Artikkel 29-gruppen, bestående av samtlige medlemslands datatilsyn, hvor også Norge deltar med observatørstatus.

Ifølge Smith kan kunder på Azure, Office 365, Dynamics CRM og lignende, nå fritt overføre personopplysninger over landegrensene, gjennom deres datasentraler i EU-området og til resten av verden.

Administrerende direktør Michael Jacobs i Microsoft Norge sier seg svært fornøyd med Artikkel 29s avgjørelse.

– Dette markerer en betydelig milepæl for kunder som vurderer Microsofts skytjenester ved at de kan ha tillit til og vite at produktene er i samsvar med Europas strenge personvernstandarder uansett hvor dataene ligger, sier Jacobs.

Forenkling
I praksis ser det ut til at Microsoft har adoptert EU-kommisjonens standardvilkår (2010/87), som er bindende for Norge gjennom EØS-avtalen, kan Datatilsynet fortelle til digi.no.

– Konsekvensen er at bedrifter som ønsker å overføre personopplysninger til Microsoft nå kan gjøre dette, i flere europeiske land, uten at de lokale datatilsynsmyndighetene har godkjent dataoverføringene på forhånd. Microsofts avtale trenger med andre ord ikke å godkjennes på nytt, svarer tilsynets seniorrådgiver Jørgen Skorstad på vår anmodning om en redegjørelse.

Dette betinger at kunden skriver under på en avtaletekst kalt Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement før personopplysningene blir overført. I tillegg må vedleggene til avtalen fylles ut etter boka.

Ifølge Skorstad er det i vedleggene det angis hvilke data som skal overføres, hvem det angår, hvorvidt det er sensitive opplysninger, formål med behandlingen, hvilke sikringstiltak som er iverksatt og så videre.

Det er likevel verdt å merke seg, skriver Skorstad, at Norge i likhet med mange andre land i Europa, også krever forhåndsgodkjenning av dataoverføringen når standardkontrakt 2010/87 benyttes.

Men dette kravet står for fall i stadig flere europeiske land, bemerker han. Også den norske regjeringen arbeider for tiden med å revidere forskriften som regulerer dette.

I forrige måned vedtok EU-parlamentet en ny personvernforordring, som blir gjeldende for alle EU- og EØS-landene. Der legges det opp til en generell regel at det som er godkjent av personvernmyndigheter i ett medlemsland, automatisk godkjennes i alle medlemsland.

Heartbleed-sårbarheten i OpenSSL har fått voldsomme konsekvenser. Ikke nødvendigvis i form av datalekkasjer, men ved at svært mange nettsteder og andre tjenester verden over nå har måttet skifte ut sikkerhetssertifikatene, samt at mange brukere av disse tjenestene har fulgt rådet om å erstatte sine passord med helt nye.

Så langt er det ikke kjent at sårbarheten faktisk har blitt utnyttet eller over hvor lang tid. Men man kan trolig ta det for gitt at det har skjedd tilfeller av slik utnyttelse i dagene som har gått siden sårbarheten ble allment kjent.

På grunn av det store potensialet til avlytting som Heartbleed gir, har det blitt spekulert i om det er NSA som har plantet sårbarheten i koden. OpenSSL er basert på åpen kildekode og mottar bidrag fra flere parter. Det har tidligere blitt hevdet at slike forsøk på bevisst planting av sårbarheter ville ha blitt oppdaget ved senere kodegjennomgang, men denne egentlig ganske opplagte sårbarheten ble først oppdaget etter to år.

Sydney Morning Herald publiserte i går kveld, norsk tid, et intervju med utvikleren som har skrevet koden til Heartbeat-utvidelsen. Vedkommende heter Robin Seggelmann, en tysk forsker ansatt ved Universitetet i Munster.

Seggelmann sier at han forstår at det er fristende å anta at NSA har hatt en finger med i spillet.

– Men i dette tilfellet dreide det seg om en enkelt programmeringsfeil i en ny funksjon, som dessverre oppstod på et område som er relevant for sikkerheten, forteller Seggelmann. Sårbarheten skyldes manglende validering av verdien til en variabel. Dette ble etter alt å dømme også oversett også av Stephen Henson, personen som skal ha revidert koden før den ble tatt i bruk.

Til Sydney Morning Herald sier Seggelmann at feilen han introduserte var ganske triviell, men at konsekvensene var svært alvorlige.

– Det ble overhodet ikke gjort med hensikt, spesielt siden jeg på egenhånd har rettet OpenSSL-feil tidligere, og forsøkte å bidra til prosjektet.

Sydney Morning Herald har en egen sak om bakgrunnen til Seggelmann. Der går det fram at han siden doktorgradsstudiene har publisert vitenskapelige artikler og holdt foredrag om IT-sikkerhet. Avhandlingen hans fra 2012 handlet om strategier for sikker internettkommunikasjon.

Seggelmann er forøvrig ikke bare utvikler av Heartbeat-modulen. Han har også vært med å skrive selve spesifikasjonen, sammen med to andre.

Frem til nå har det ikke vært mulig for privatpersoner i Norge å kjøpe .no-domener; de har kun vært tilgengelig for bedrifter.

Privatpersoner har kun hatt muligheten til å registrere adresse under priv.no, noe bare drøye 5.000 har gjort siden det ble mulig i 2011.

Ute på høring
I januar ble et forslag fra Norpol om å la privatpersoner registrere .no-domener lagt ut for høring. Høringsfristen gikk ut 11. mars, og denne uken ble det besluttet at det fra 17. juni i år blir mulig for privatpersoner å skaffe seg et .no-domene.

– Et norsk domenenavn er stabilt og blant de sikreste i verden, og vi er veldig glade for at vi nå kan utvide tilbudet til privatpersoner, sier Hege Ossletten, fungerende daglig leder i Norid på selskapets nettsider.

Fra 17. juni
Fra midnatt 17. juni kan alle som ønsker seg et .no-domene sende inn søknad til Norid.

Alle kan søke om hvilket som helst domenenavn, og søknadene går inn i en loddtrekning for å gjøre det rettferdig. Dog må domenenavnet ikke være i strid med norsk lov og heller ikke bryte med andres rettigheter.

I 2010 ble det samme temaet lagt ut for høring, men den gangen ble ikke .no-domenet sluppet fri.

Hva synes du om at alle nå får slippe til under .no-paraplyen? Vi hører fra deg i kommentarfeltet under.

Artikkelen er opprinnelig publisert på DinSide.

Oslo/Tromsø (NTB-Alexander Vestrum og Jan-Morten Bjørnbakk): Justisminister Anders Anundsen (Frp) vil gjennomgå myndighetenes varsling av det store datasikkerhetshullet som ble avdekket denne uka. Han har innkalt flere IT-etater til møte.

– Det er viktig for myndighetene å være tydelige. Var vi raskt nok ute med informasjonen? sier justisministeren til NTB.

Han oppfordrer alle til å følge instruksjonene fra sine tjenesteleverandører om hvordan de skal forholde seg etter feilen som omtales som Heartbleed.

– Det er også viktig å huske at noen kan prøve å svindle deg til å gi fra deg passordet. Den typen ting må man være oppmerksom på, sier Anundsen.

Innkalt til møte
Justisministeren har innkalt til et møte om saken med Nasjonal sikkerhetsmyndighet (NSM), Norsk senter for informasjonssikring (NorSIS) og Direktoratet for Forvaltning og IKT (DIFI).

– Jeg tar denne saken svært alvorlig. Justis- og beredskapsdepartementet har samordningsansvaret for IKT-sikkerhet på sivil side, understreker Anundsen.

Onsdag kveld opplyste NorSIS til VG at folk burde bytte sine passord snarest. Senere kom rådet om å vente på informasjon fra tjenesteleverandørene.

- Liten grunn til bekymring
Vanlige databrukere har liten grunn til å være bekymret for sikkerhetsfeilen som gjør at du bør bytte passord., og god passordskikk er viktig for å beskytte seg, opplyser seksjonssjef for teknisk analyse og datasikkerhet i Nasjonal sikkerhetsmyndighet, Arne Asplem til NTB.

Han mener det er grunn til å avdramatisere frykten for at dine sensitive data kan være på avveie.

– Hvis du følger god passordskikk – har gode passord, bytter regelmessig, ikke gjenbruker samme passord på alle tjenestene – da har du ingen grunn til bekymring, sier Asplem.

Programmeringsfeil
Feilen som er avdekket, er ikke et massivt virusangrep, men en programmeringsfeil i programvare som brukes på sikre forbindelser på nett.

Som forbruker bør du ha tillit til at tjenesteleverandører du bruker retter opp programvarefeilen som gjør det teoretisk mulig å hente ut ditt brukernavn og passord.

– Hvis du er tjenesteleverandør, må du ta dette ekstremt alvorlig. Hvis systemet ditt er sårbart, må du rette opp programfeilen. Du må vurdere om du skal tilbakekalle sikkerhetssertifikatene og installere nye. Du bør også varsle kundene dersom du har vært sårbar, sier Asplem.

Lang vei
UIO-forsker, gründer og informatikkommentator Gisle Hannemyr sier til NTB at veien fram til ditt passord er lang for den som skal forsøke å utnytte programmeringsfeilen.

De fleste forsøkene på å hente ut informasjon fra den sikre, og krypterte forbindelsen mellom for eksempel deg og din nettbank, vil bare gi tilfeldige data.

– Angrepet er ikke rettet mot deg, men mot serveren som er satt opp med en usikker versjon av programvaren. De får tilfeldige data fra minnet på maskinen. Det er mulig å analysere denne minneklumpen og se om det ligger noe interessant der. Da er det selvfølgelig særlig passord de er ute etter, sier Hannemyr.

Bytt passord!
Denne metoden er ikke et sugerør inn i ditt passordhvelv. Men du bør bytte passord fordi det er en liten sjanse for at noen kan ha hentet ut dette ved å utnytte programmeringsfeilen.

Hannemyr støtter oppfordringen fra Nasjonal sikkerhetsmyndighet om å bytte passord.

– Det er fornuftig med en slik oppfordring fordi ditt passord kan ha vært kompromittert. Man vet ikke hvor mange passord som eventuelt er på avveie eller om noen har utnyttet programmeringsfeilen før den ble oppdaget, sier Hannemyr. (©NTB)