Sårbarheit i operatørregisteret flydrone.no
Luftfartstilsynet fekk onsdag ettermiddag 4. mars ei bekymringsmelding om ei sårbarheit i flydrone.no, Noregs offisielle register for alle som flyr drone i Noreg. Feilen er no retta.
Ein feil i utviklinga av registeret gjorde det mogleg å hente ut data om registrerte organisasjonar og pilotar som er knytte til organisasjonane, som ein ikkje skulle hatt tilgang til. Vi beklagar at denne sårbarheita har oppstått, og arbeider no grundig med å kartleggje omfanget og styrkje rutinane våre.
Kva informasjon var tilgjengeleg?
Det er viktig å presisere at vi førebels ikkje veit om sårbarheita har blitt utnytta. Dette undersøker vi no. Men sårbarheita gjorde det mogleg å hente ut følgjande opplysningar:
For organisasjonar:
- namn
- kontaktinformasjon
- operatørnummer
- forsikringsselskap og polisenummer
- betalingsinformasjon der fire av siffera i kortnummeret er bytte ut med ****
(t.d. 0000 0000 **** 0000)
For pilotar knytte til organisasjonar:
- namn
- kontaktinformasjon
- type sertifikat
- kva organisasjon piloten flyr for
Kva er gjort?
Så snart vi mottok bekymringsmeldinga, onsdag ettermiddag 4. mars 2026, starta vi saman med leverandøren vår arbeidet med å fjerne sårbarheita.
Vi melde avviket til Datatilsynet på fredag, og den tekniske løysinga vart også implementert same dag.
I etterkant undersøker vi om sårbarheita kan ha blitt utnytta. Det inneber at vi saman med leverandøren vår går gjennom loggar for å sjå etter eventuelle spor. I tillegg går vi gjennom rutinane våre og oppdaterer dei for å sikre at noko liknande ikkje skjer igjen.
Vi vil oppdatere denne sida når vi får meir informasjon.