Published 2018-07-05

Data leakage from Schibsted Norway third party provider Typeform

On Monday, July 2nd, Schibsted Norway was notified that Typeform, an international provider of online survey and quiz hosting technology, experienced a data leakage.

Schibsted users that have responded to surveys earlier this year through Aftenposten and Bergens Tidende are amongst the affected.

An email with relevant information sent to affected users can be found below (in Norwegain).

On June 27th, Typeform, a supplier of online survey and quiz technology, discovered that some of their data had been accessed and downloaded without authorisation by an unknown third party. “The breach was detected on June 27th and Typeform informed us that the immediate source of the problem was fixed within one hour. Schibsted was informed of the breach affecting some of our users on July 2nd,” says Ingvild Næss, Chief Privacy Officer at Schibsted Media Group.

“It is important to underline that no sensitive personal data are comprised; no passwords, nor payment information or other sensitive data. We do, however, regret this incident deeply, and we are doing everything we can to help the ones affected and prevent any damages. We are in close dialogue with Typeform to investigate the incident, and will take necessary actions to prevent anything similar from happening again,” says Ingvild Næss. “When we work with suppliers such as Typeform, we assess risk and security, and enter into data processor agreements as required by law. We are now reassessing our use of Typeform and similar services in light of this incident.”

The affected data includes user names, user email addresses, mobile telephone numbers, and other data such as gender, age range, county, education and range of income in combination with other responses in the user surveys.

What is being done now?
“We have reached out to all users that we know have been affected by the incident via email. We have also ensured that our helpdesk teams have the information they need to be able to handle queries efficiently and assist affected users. We have also notified the authorities, Datatilsynet, and are currently reassessing our relationship with Typeform and other similar vendors. It is our most important responsibility to manage data in a safe, user-friendly and responsible way.

Information shared with Norwegian users (In Norwegian).

Mandag 2. juli ble Schibsted, varslet om at Typeform har hatt en datalekkasje. Typeform er et svært populært online-verktøy, som brukes verden over. Vi har brukt det til gjennomføring av brukerundersøkelser.

Du får denne mailen fordi det kan være at de som har hentet ut data ulovlig også har fått tak i opplysninger om deg.

  • Dette fordi du gjennomførte en brukerundersøkelse om ditt aviskonsum via Aftenpostens e-avis i januar i år. Dette gjelder cirka 3000 personer. Hensikten med undersøkelsen var å bedre våre produkter.
  • Dette fordi du gjennomførte en quiz eller en brukerundersøkelse via BT i 2017 eller 2018. Dette gjelder cirka 5000 personer.

For å ta det viktigste først: Det er ikke snakk om sensitive opplysninger som er på avveie. Ingen passord, betalingsinformasjon eller annen tilsvarende sensitiv data er på avveie. Derimot er det snakk om informasjon som navn, e-postadresse og demografiske variabler som kjønn, alderssegment, landsdel, utdanningsnivå og husholdningsinntekt – i kombinasjon med de svarene du avga i brukerundersøkelsen.

Dette er likevel veldig beklagelig, og vi oppfordrer deg til å være ekstra oppmerksom på eposter som kan være spam og/eller forsøk på svindling i tiden fremover. Generelt minner vi om at du aldri bør oppgi bankkonto-informasjon eller passord på mail eller telefon.

Hvordan kunne dette skje?

Typeform har hatt en svakhet i sitt sikkerhetssystem. De har forsikret oss om at de kort tid etter at de ble gjort oppmerksom på lekkasjen fikk kontroll over problemet. De ser svært alvorlig på dette, og har nå satt igang tiltak for å bedre sikkerheten sin ytterligere, og gjøre det de kan for å forhindre at noe tilsvarende skjer igjen.

Kunne vi gjort noe annerledes?

Når vi samarbeider med leverandører som Typeform evaluerer vi alltid deres sikkerhetsprosesser, og inngår databehandleravtaler, som lovverket krever. Nå går vi på nytt gjennom vår bruk av Typeforms tjenester fremover, og også andre tilsvarende eksterne leverandører av teknologitjenester.

I Schibsted mener vi at det er vårt viktigste ansvar å behandle brukeropplysninger på en sikker, brukervennlig og ansvarlig måte. Vi bruker denne type opplysninger for alltid å kunne tilby kundene våre de beste digitale tjenestene, og gjennomgår kontinuerlig tiltak og praksis for å sikre at opplysningene håndteres i samsvar med våre brukeres forventninger og lovverket.

Til slutt: Til alle berørte i denne saken beklager vi så mye. På Schibsteds vegne, og på Typeforms vegne. Dessverre er det umulig å garantere at noe som dette ikke vil skje i fremtiden, men det vi kan garantere er at vi gjør alt vi kan for å beskytte dataene dine – nå og fremover.

Vi har også underrettet Datatilsynet om dette, slik vi både ønsker og plikter, for å sikre at denne saken håndteres på best mulig måte.

Har du spørsmål utover dette ber vi deg ta kontakt med Aftenpostens kundeservice på telefon 21 89 60 40, eller BT kundeservice tel 56 09 55 00

Med vennlig hilsen Ingvild Næss, personverndirektør i Schibsted

Contacts for further information:

For customers
Affected Aftenposten users: Aftenposten kundeservice tel 0047 21 89 60 40
Affected Bergens Tidende users: BT kundeservice tel 0047 56 09 55 00

For Media requests
Camilla Kim Kielland, Communications Director; Schibsted Media
camilla.kim.kielland@schibsted.com, +47 917 36 971
Ingvild Næss, Chief Privacy Officer, Schibsted Media Group
ingvild.ness@schibsted.com, +47 901 18 282