»DEN ER HELT GAL!!!«: Java-opdatering mistænkt for TastSelv-læk af CPR-oplysninger

En fejl i forbindelse med en Java-opdatering var muligvis skyld i, at 138 personers skatteoplysninger blev blotlagt på Skats hjemmeside i marts.

Det var muligvis problemer i forhold til en Java-opdatering, der bevirkede, at Skat i starten af marts blotlagde CPR-numre og årsopgørelser via Skats selvbetjeningsløsning.

Det viser en aktindsigt, Version2 har fået i sagen. Her fremgår det desuden, at der er tale om 138 personer, der fik blotlagt deres oplysninger.

Som det tidligere har været fremme, er der tale om kunder hos den samme rådgivningsvirksomhed, som det dog ikke har været muligt at få oplyst navnet på.

I forbindelse med datalækket, der fandt sted 9. marts om aftenen, berettede flere personer om, hvordan de fik adgang til en liste med andre borgeres CPR-numre, når de loggede på Skats TastSelv-løsning. Desuden var det i den forbindelse muligt at klikke sig videre og se andres årsopgørelser.

Ordlyden i intern mail i Skat i forbindelse med datalækket på TastSelv vidner om, at situationen blev taget ganske alvorligt. (Pixelering tilføjet af Version2).

Java-opdatering og læk skete samtidig

Generelt er det småt med de tekniske detaljer i materialet, som Version2 har fået tilsendt i forbindelse med aktindsigten. Den indeholder også en del overstregninger.

Dog fremgår det af flere mailkorrespondancer, at Skats it-leverandør, der dengang hed CSC, mener, at fejlen hænger sammen en Java-opdatering den 9. marts mellem klokken 17:30 og klokken 18:57, hvor fejlen bliver observeret i logs.

Det fremgår i den forbindelse, at der i tidsrummet har fundet en opgradering til Java 1.8 sted.

Klokken 21:13 bliver der lukket helt ned for selvbetjeningsdelen hos Skat for at stoppe problemet.

Og kort inden bliver der sendt en mail internt i Skat i forhold til situationen med følgende indhold:

»DEN ER HELT GAL!!!«

Risiko for at JVM løber tør for ressourcer

Den 10. marts klokken 12:00 bliver der sendt en mail fra CSC til Skat, hvor det fremgår, at den software-komponent, som Java-opdateringen indgår i, er ved at blive rullet tilbage.

»Der er herefter en lille risiko for, at en eller flere Java Virtual Machines (JVM) kan løbe tør for ressourcer, når systemet er under belastning. Dette vil vi kompensere for ved øget overvågning og jævnlig genstart af JVM'erne efter behov, ligesom vi har mulighed for at styre belastningen via kø-systemet,« oplyses det i en mail fra CSC til Skat.

Hverken Skat eller CSC, der i mellemtiden er blevet til DXC.technology, har over for Version2 ønsket at uddybe, hvori de tekniske problemer bestod.

Læs også: Hov, hvor blev CSC af? Dansk hovedpine slået sammen med HP's dyre fejltagelse

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (1)

Morten Sabroe Mortensen

Engang imellem bør artikelskriver her overveje, hvad de har gang i ud i misvisende overskrifter og bl.a. Java-bashing.

Der er vist tale om at det er nogle bestemte af de nævnte firmaer og deres handlinger, som "det er helt galt med".

Den er helt galt her.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 13:45

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017