Dansk Boligforsikring: CPR-numre lå ikke frit tilgængelige

Illustration: leowolfert/Bigstock
Dansk Boligforsikrings bestyrelsesformand afviser blankt, at personlige informationer og oplysninger fra verserende forsikringssager skulle have ligget frit tilgængelige på internettet.

Afvisningen kommer som svar på Version2's omtale for tre uger siden, der beskrev, hvordan man ved en simpel ændring i URL-adressen kunne tilgå Dansk Boligforsikrings pivåbne database, der indeholdt et væld af personfølsomme oplysninger om selskabets kunder. Herunder CPR-numre, underskrifter, billeder og telefonnumre.

Læs også: CPR-numre, telefonnumre og underskrifter flød rundt i forsikringsselskabs pivåbne database

»Dokumenterne har ikke været tilgængelige for andre end kunden selv, MEN der har været en svaghed i systemets sikkerhed, således at personer med it-kendskab og ureelle hensigter via kendskab til et konkret kundelink har kunnet opnå adgang til andre kunders oplysninger ved at forsøge sig med varianter af det allerede kendte link,« skriver bestyrelsesformanden for Dansk Boligforsikring, Mogens Kjær, i en mail til Version2.

Mogens Kjær påpeger, at det ikke tyder på, at andre end undertegnede har været inde i databasen.

»Dette (at Version2 har haft adgang til databasen, red.) er efter vor opfattelse ikke anderledes, end at man kan opnå adgang til personlige data på anden ureglementeret vis, f.eks. ved indbrud på selskabets kontor, hacking o.l.,« skriver Mogens Kjær.

I forbindelse med den tidligere artikel snakkede Version2 med en jurist fra Dansk Boligforsikring, der hævdede, at ansvaret lå hos en underleverandør. Dengang ønskede Dansk Boligforsikring ikke at uddybe denne udtalelse med et interview, men nu afviser Mogens Kjær, at selskabet fralagde sig ansvaret.

Dansk Boligforsikring har indtil videre ikke ønsket at stille op til interview, men har udtalt til Version2, at fejlen og ansvaret for lækagen ligger hos leverandøren, Meebox, der hoster databasen.

»Dansk Boligforsikring har ikke peget på nogen som skyldig i systemsvagheden. Selskabet vedkender sig 100 procent at have ansvaret for den fulde sikkerhed og overholdelse af alle regler,« skriver Mogens Kjær.

Derudover mener Mogens Kjær ikke, at Dansk Boligforsikring på noget tidpunkt har givet underleverandører skylden, men at man fra forsikringsselskabets side vedkender sig det fulde ansvar for overholdelse af alle regler omkring it-sikkerhed.

Endelig skriver Mogens Kjær, at der endnu ikke har været eksempler på misbrug af kundernes persondata.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Bobjerg Juul

"Dokumenterne har ikke været tilgængelige for andre end kunden selv, MEN...."

betyder: Ja, vi har ikke været vores ansvar voksne.

"....påpeger, at det ikke tyder på, at andre ......"

betyder: Vi har ingen anelse om andre har været inde at bruge/misbruge sårbarheden, for vi har ikke tænkt os, at købe for kr 100K+ log analyse værktøjer og timer til analyse af logs, såfremt vi har de logs.

"....adgang til personlige data på anden ureglementeret vis, f.eks. ved indbrud..."

betyder: Vi har ikke tænkt os at implementere brugernavn/password funktion til sikring af data, og det i gjorde var ulovligt.

"...men har udtalt til Version2, at fejlen og ansvaret for lækagen ligger hos leverandøren..."

betyder: vi mener ikke vi er ansvarlig for at have købt et system.

  • 6
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize