Et stort, dansk IT-firma, der ligger inde med flere hundrede tusinde navne og CPR-numre på danskere sjusker med sikkerheden på deres hjemmeside. Af hensyn til firmaet og de personer, hvis navne og CPR-numre er lækket, er det ikke her, du får virksomhedens navn at vide – så er det sagt.
På IT-firmaets hjemmeside har de en PDF-manual, der udførligt beskriver deres ellers udmærkede system. Her viser de detaljeret med screenshots, hvordan administratorer bruger det. De er ikke helt tossede, og derfor har de dækket følsomme oplysninger på screenshotet med en grå boks. Problemet er bare, at billedet under boksen loader hurtigere end boksen og derfor er det muligt at få et kort glimt af oplysningerne og tage et screenshot af dem. Der gik ikke længe, før jeg havde fundet frem til Facebook-, Live- og andre profiler på personerne og derfor ved jeg, at der ikke bare var tale om testpersoner.
Det skal siges, at der kun er tale om et par håndfulde personers oplysninger, der kan ses og det er tilsyneladende ikke et stort problem. Men det synes jeg, det er! Der kan ske smuttere, men et system der anvendes af så mange brugere bør have bedre styr på sikkerheden! Systemet er hovedsageligt målrettet det offentlige og det offentlige bør være meget mere opmærksomme på, hvilke firmaer der får så følsomme oplysninger i hænderne.
Det mest pinlige ved denne sag er, at det er et firma, der brander sig på at have høj datasikkerhed, og man må forvente, at et IT-firma (med det offentlige som storkunde) har styr på, hvordan man laver en ordentlig PDF-fil uden at afsløre følsomme oplysninger på personer, som sikkert ikke engang ved, at firmaet ligger inde med dem. I en anden manual har firmaet dog gjort det korrekt taget et screenshot og ændret direkte i billedet. Det andet er bare amatøragtigt, pinligt og faktisk også imod dansk lovgivning.
Pas på hvem du giver dine oplysninger til – måske har de selv rent mel i posen, men deres underleverandører har måske ikke orden på sagerne.
Hej Martin!
Skræmmende!!
Du burde tage et sådan screenshot og sende til firmaet og/eller pressen!!
Mvh
Claus 😀
Hej Claus
Ved endnu ikke om jeg går til pressen, men firmaet får helt sikkert en e-mail!
Jeg tillod mig at nævne det på min blog.
Det er bare ikke godt nok, det der. Og afgjort ikke i overensstemmelse med lovene for håndtering af cpr-numre. Jeg håber, at de straks tager kritikken til sig og ændrer på manualen.
Ellers stikker du bare Dorte manual og firmanavn!
Ih hvor jeg dog glæder mig til edag3!
Har ligeledes fundet hul i system, hvor CPR, sygdomshistorik og andet kunne ses, se evt. mit tweet omkring det (der skulle i øvrigt stå “semi-offentlig”)
Skræmmende at data til tider håndteres SÅ letsindigt.
Det er rystende hvordan man overhovedet kan få den ide, at lave den slags “live” screenshots i stedet for en død jpg.
Hej Martin,
Har du fået noget respons fra firmaet, eller er de på vej på forsiden?
Der er ikke noget hemmeligt i CPR oplysninger. En hver virksomhed kan købe dem på http://www.cpr.dk
@Anders: er det nu også helt korrekt, det du skriver?
http://www.cpr.dk/cpr/site.aspx?p=154&ArticleID=4112
Prøv evt. at gennemfør et køb på CDON.dk, og du vil se at du har kan udtrække alle CPR oplysninger og adresser på alle dansker.
Jeg har oplevet, at et større dansk webhotel og domænehåndteringspartner slet ikke har styr på, hvilke mailkonti man har adgang til, når man tilgår sin IMAP mail konti.
Jeg har via min iPhone pludselig (uden at jeg ellers har “hacket” noget, for det har jeg ingen forstand på) fået adgang til andre virksomheders kalendere m.m. via IMAPS.
Jeg har endda i to omgange ringe til firmaet og sagt til dem, at det kan da bare ikke passe at jeg uden videre får adgang til deres undermapper, når jeg bare indtaster loginoplysninger til min egen mailadresse. Ikke desto mindre har jeg ingen reaktion eller opfølgning fået og jeg har det nok på den måde, at jeg i løbet af kort tid flytter min mailkonto og domæne – gider ikke være hos en dansk hostingpartner, der ikke gider tage kundehenvendelser om sikkerhed alvorligt 🙁
Hejsa,
Du har selvfølgeligt ret i at det er grimt at gøre, og det er også fint at du skriver en nyhed om det. Jeg kan bare ikke lige være med at syntes det er lidt ukonkret og FUD-agtigt. Du skriver ikke hvem det er, eller giver et mere sigende screenshot.
Så indtil der er mere facts er det nogenlunde lige så pålideligt som eb.dk – der er ihvertfald lige så mange facts.
No offence.
/k
Det lyder godt nok amatøragtigt 🙁
Det er godtnok skræmmende
Hmmm, som udgangspunkt lyder det ulovligt.
Prøv evt. at kontakte datatilsynet med din dokumentation, det er den instans, der håndterer den slags.
Se evt. http://www.datatilsynet.dk/erhverv/personnummer-cpr-nummer/
Hej Martin
Det er bare ikke godt nok at et dansk firma lækker CPR numre, men nok om det, håber du giver dem en lærerstreg 🙂
Da jeg kan se du er webmaster for adskellige hjemmesider, vill det være dejligt hvis du gad og besøge min nye hjemmeside for webmastere hvor du kan debattere og sakke med andre webmastere.
Siden hedder webmasterdebat.dk og jeg håber du vil oprette en bruger samt en debat eller to
Ja, det er vildt nok, men skal passe ordenligt på CPR oplysningerne
[Admin: Kommentaren linkede til en side med ulovlige produkter]