»DEN ER HELT GAL!!!«: Java-opdatering mistænkt for TastSelv-læk af CPR-oplysninger

En fejl i forbindelse med en Java-opdatering var muligvis skyld i, at 138 personers skatteoplysninger blev blotlagt på Skats hjemmeside i marts.

Det var muligvis problemer i forhold til en Java-opdatering, der bevirkede, at Skat i starten af marts blotlagde CPR-numre og årsopgørelser via Skats selvbetjeningsløsning.

Det viser en aktindsigt, Version2 har fået i sagen. Her fremgår det desuden, at der er tale om 138 personer, der fik blotlagt deres oplysninger.

Som det tidligere har været fremme, er der tale om kunder hos den samme rådgivningsvirksomhed, som det dog ikke har været muligt at få oplyst navnet på.

I forbindelse med datalækket, der fandt sted 9. marts om aftenen, berettede flere personer om, hvordan de fik adgang til en liste med andre borgeres CPR-numre, når de loggede på Skats TastSelv-løsning. Desuden var det i den forbindelse muligt at klikke sig videre og se andres årsopgørelser.

Ordlyden i intern mail i Skat i forbindelse med datalækket på TastSelv vidner om, at situationen blev taget ganske alvorligt. (Pixelering tilføjet af Version2).

Java-opdatering og læk skete samtidig

Generelt er det småt med de tekniske detaljer i materialet, som Version2 har fået tilsendt i forbindelse med aktindsigten. Den indeholder også en del overstregninger.

Dog fremgår det af flere mailkorrespondancer, at Skats it-leverandør, der dengang hed CSC, mener, at fejlen hænger sammen en Java-opdatering den 9. marts mellem klokken 17:30 og klokken 18:57, hvor fejlen bliver observeret i logs.

Det fremgår i den forbindelse, at der i tidsrummet har fundet en opgradering til Java 1.8 sted.

Klokken 21:13 bliver der lukket helt ned for selvbetjeningsdelen hos Skat for at stoppe problemet.

Og kort inden bliver der sendt en mail internt i Skat i forhold til situationen med følgende indhold:

»DEN ER HELT GAL!!!«

Risiko for at JVM løber tør for ressourcer

Den 10. marts klokken 12:00 bliver der sendt en mail fra CSC til Skat, hvor det fremgår, at den software-komponent, som Java-opdateringen indgår i, er ved at blive rullet tilbage.

»Der er herefter en lille risiko for, at en eller flere Java Virtual Machines (JVM) kan løbe tør for ressourcer, når systemet er under belastning. Dette vil vi kompensere for ved øget overvågning og jævnlig genstart af JVM'erne efter behov, ligesom vi har mulighed for at styre belastningen via kø-systemet,« oplyses det i en mail fra CSC til Skat.

Hverken Skat eller CSC, der i mellemtiden er blevet til DXC.technology, har over for Version2 ønsket at uddybe, hvori de tekniske problemer bestod.

Læs også: Hov, hvor blev CSC af? Dansk hovedpine slået sammen med HP's dyre fejltagelse

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
Morten Sabroe Mortensen

Engang imellem bør artikelskriver her overveje, hvad de har gang i ud i misvisende overskrifter og bl.a. Java-bashing.

Der er vist tale om at det er nogle bestemte af de nævnte firmaer og deres handlinger, som "det er helt galt med".

Den er helt galt her.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017