I morges klikket sikkerhetsrådgiver Per Thorsheim seg inn på en sak på Nettavisen. For å lese saken måtte han betale én krone gjennom Nettavisens betalingssystem, ettersom avisen har valgt å ta seg betalt for saker som er mer enn ett år gamle, men det valgte han ikke å gjøre. Thorsheim sier han syns det er fint å bidra til å finansiere journalistikken, men betalingssystemet Nettavisen bruker er «noe av det verste han har sett».  

- Jeg ble sjokkert over Nettavisen. Det kan godt være at konseptet de har tatt i bruk er bra og brukervennlig, men sikkerhetsmessig og personvernmessig er løsningen noe av det verste jeg har sett. Løsningen er helt forferdelig, jeg vil ikke finne på å bruke den før Nettavisen bekrefter at de har en avtale med Digipay (tjenesten man betaler gjennom, red.anm), sier han.

- Dette er faktisk dårligere laget enn noen av de dårligste datavirusene og svindlersidene i dag. Etter å ha jobbet med sikkerhet i 20 år bør jeg vite og ha muligheten til å sjekke at dette er reelt. Den eneste måten jeg kan verifisere dette på er å skrive til Nettavisen på Twitter eller Facebook, eller ringe dem. Jeg vil betale for løsningen deres, men ikke før jeg vet at det er en reell løsning og ikke noe datavirus.

Les mer: - Nå vil også Nettavisen ta seg betalt

- Ingen informasjon om at dette er en sikker leverandør
Thorsheim reagerer på at det er umulig å finne informasjon om avtalen som foreligger mellom Digipay og Nettavisen.

- Når jeg klikker på saken jeg vil lese, forsvinner alt som ligner på Nettavisen, og opp kommer et bilde som presenterer betalingsløsningen. Det er ingen informasjon på siden som sier at Nettavisen bruker en sikker tilkobling eller leverandør. Det står heller ingenting om koblingen mellom Digipay og Nettavisen.

Sikkerhetseksperten stiller seg også tvilsom til Digipay som selskap og tjenesteleverandør.

- Jeg søkte på Google for å finne informasjon om Nettavisens samarbeid med Digipay, en formell tekst som forklarer det, men det finnes ikke. Når jeg ikke finner det blir jeg skeptisk. På hjemmesiden til Digipay er det ingen logo eller grafikk. Det står ikke oppført noe organisasjonsnummer, og Digipay som navn er ikke registrert i Brønnøysundregisteret.

Bekymrer seg for flere medier
I tillegg til Nettavisens betalingsløsning er Thorsheim bekymret for at nettsikkerheten generelt er for dårlig hos flere, norske nettaviser.

- Kildevernet står sterkt, men beskyttelsen av leserne og gjestene på websidene finnes ikke per i dag. Det blir jeg stadig mer opptatt av å få gjort noe med.

Han forklarer at naboen eller arbeidsgiveren din enkelt kan spore opp surfingen din dersom du leser artikler gjennom en ukryptert forbindelse.

- Hvis jeg besøker tips-siden på Aftenposten eller Kripos, vil jeg være bekymret for at for eksempel arbeidsgiveren min kan spore det opp fordi koblingen ikke er kryptert. Nettavisene kan få informasjon om meg, men jeg vil ikke at naboen skal kunne finne det ut. 

- Vi er i ferd med å endre teksten 
Nettavisen har merket seg sikkerhetsrådgiverens innspill, og er nå i ferd med å oppdatere teksten på betalingssiden. 

- Vi er i ferd med å oppdatere teksten på Nettavisen. Det ble bemerket at det som sto der ikke var forklarende nok og det har vi tatt til oss. Personvenrmessig er det eneste man gir fra seg et telefonnummer, det gir man også fra seg på 1881, sier Pål Nisja-Wilhelmsen, innovasjonsdirektør i Nettavisen. 

- Hvem er det som står bak Digipay? 

- Det er Media One AS i samarbeid med Nettavisen.