Kaspars Zibarts satt på tåget från jobbet. Varje arbetsdag pendlar han över två timmar enkel resa mellan Scanias it-avdelning i Södertälje och hemmet i Karlstad. Med sig på tåget hade han sin nya Lenovo-dator, som han köpt på Elgiganten.
– Jag märkte att jag fick fel certifikat på Google-sajter, och eftersom jag jobbar med säkerhet så tyckte jag att det inte kändes rimligt. Så jag började kolla, och det visade att Superfish utfärdat certifikatet för Google. Vad i helvete, tänkte jag och blev lite nervös, säger Kaspars Zibarts till IDG.se.
Läs mer: Lenovo anklagas för att installera spionprogram i nya datorer - kan läsa din banktrafik
Mer och mer förvånad provade han Nordeas sida. Och visst, även där dök Superfish upp som certifikatsutfärdare.
– Så jag vände mig till Nordea, Datainspektionen och polisen och sa att det här är emot de grundläggande lagarna, att ingen ska kunna dekryptera dina hemliga kopplingar på internet. Polisen tog emot min anmälan den andra februari.
Utdrag från brevet som Kaspars Zibarts skickade till polisen.
Superfish är en programvara som injicerar reklam när användaren surfar på nätet och kommer förinstallerat på en rad konsumentdatorer från Lenovo som sålts mellan september och december förra året. Men så mycket visste Kaspars Zibarts inte i januari.
Läs mer: Lenovo lovar lägga lock på luriga program som Superfish
Utöver banken och myndigheterna mejlade han Lenovo – men fick ingen respons någonstans. Så han skrev ett inlägg i Lenovos forum om vad han upptäckt. Först då tog det – minst sagt – skruv.
Kaspars Zibarts inlägg i Lenovos forum som startade allt.
På en skärmdump med Nordea som exempel visade Kaspars Zibarts att Superfish installerat ett eget signerat rotcertifikat för krypterad trafik i datorn. Det öppnar för en så kallad mannen-i-mitten-attack där trafiken mot en krypterad webbsida, som till exempel en bank, skulle kunna avlyssnas och läsas okrypterad av Superfish trots att webbläsaren visar att trafiken är säker.
Läs mer: Här är Lenovo-datorerna som kan ha spionprogrammet Superfish - och så tar du bort det
"Den här mjukvaran söndertrasar ett årtionde av browsersäkerhets- och integritetsutveckling, och de senaste fem årens SSL-chifferarbete", skrev Cloudflares säkerhetsexpert Marc Rogers.
"Jag förväntade mig inte att det skulle bli så här stort"
Kort sagt blev upptäckten av Lenovos farliga mjukvara en världsnyhet. Företaget fick be om ursäkt, US Homeland Security skickade ut en varning till amerikanska medborgare, Microsoft skickade ut en uppdatering som skulle rensa ut Superfish-problemet.
– Jag förväntade mig inte att det skulle bli så här stort. Först när Cnet skrev om det sa jag wow, det är en ganska stor sajt. Men Att CNN och BBC har plockat upp det. Ouch! Jag skakade inuti, säger Kaspars Zibarts.
Runt om i världen förvånades folk över att Lenovo kunde släppa ut datorer med något som Superfish på. I internationella medier har det kallats både skandal och svek.
– Vi känner tydligt att vi har gjort ett viktigt misstag här, eller att vi missade något. Vi ser tydligt att vi gjorde bort oss, säger Peter Hortensius, teknikchef på Lenovo, till PC World.
Internationella medier skrädde inte orden.
Men vad hände med de varningar som Kaspars Zibarts skickade till den svenska storbanken Nordea? Till Datainspektionen vars uppgift är att skydda medborgarnas integritet? Eller till polisen? Han hade ju till och med bifogat bilder som visade hur datorerna gick genom Superfish när de anslöt till bankens och polisens egna sajter.
En av bilderna som ingick i brevet till polisen - tagen på Elgiganten.
– Det är såklart krångligt att förstå om man inte jobbar med IT-säkerhet till vardags, men på banken borde de ju ha specialister. Jag tänkte att om man vänder sig till just banken så skulle det väcka intresse, att de skulle skickat ut en professionell varning, men icke. Nada, säger han.
För ännu i dag, långt efter att Superfish blev en global skandal, så har Kaspars Zibarts inte fått svar från vare sig banken eller myndigheten – men från polisen har det kommit.
– Lustigt nog återkom de ett par dagar innan allt blev stort och sa att de inte tyckte något var fel. Jag gav polisen väldigt enkla saker. Jag gick tillbaka till Elgiganten och tog bilder på laptops i butiken som visade att datorerna gick genom Superfish när de anslöt till polisens sajt. Man kunde tro att det skulle ge uppmärksamhet, men polisen tyckte att det här var helt ok, säger han.
IDG.se har varit i kontakt med Nordea, banken som inte verkade ta varningarna på allvar.
– Vi kan bekräfta att vi har tagit emot mailet, men vilka säkerhetsrutiner vi har och vilka åtgärder vi vidtar är ingenting vi kommenterar. Som Nordens största bank har vi naturligtvis ett omfattande säkerhetsarbete för att skydda oss mot olika sorters av bedrägerier, intrångsförsök etcetera, skriver pressekreteraren Petter Larsson i ett mejl efter förfrågan om en intervju.
Efter all uppmärksamhet är problemet någorlunda åtgärdat, men skadan är inte reparerad. Ett flertal amerikanska rättsfall med grupptalan förbereds mot Lenovo. Men Kaspars Zibarts är lika besviken på de svenska myndigheter och företag som inte hörsammade hans varningar.
– Sviken är nog ordet. Jag är ju inte helt påverkad, för jag kan fixa det här själv. Men alla andra, som min fru eller kusin som inte har någon koll på sånt här. Vad ska de göra?
CITE Conference kommer till Stockholm 21-22 april!
Här samlas alla typer av IT-beslutsfattare för att prata om digitaliseringen som driver framtidens affärer.
Fokus ligger på mobilitet, säkerhet, molnet och big data.
http://cite.event.idg.se
