Datalæk på dansk sikkerhedsmesse: App afslørede deltageres telefonnumre og mailadresser

Illustration: Wikimedia Commons
Mens konference-arrangør melder om systemfejl i forbindelse med datalæk, afviser app-leverandør, at det har noget på sig.

Ændret 08:53 med uddybende forklaringer fra IDC. Før fremgik det, at IDC henviste til en teknisk fejl. Der er imidlertid tale om en miskonfiguration.

Under den årlige IDC-it-sikkerhedskonference i København d. 17 september var det muligt for deltagerne at se andre deltageres mailadresser og telefonnumre gennem tredjeparts-app’en Eventbuizz, der fungerer som en moderne gæsteliste.

Den skulle altså kun vise, hvem der ellers var på eventet, og hvor de andre deltagere kommer fra.

Med lækket illustrerer IDC – noget ufrivilligt – at det kan være svært at holde alle fronter sikre, når det gælder overholdelsen af GDPR og beskyttelse af persondata. Den europæiske persondataforordning var i øvrigt et af fokusområderne på konferencen.

Læs også: GDPR-smæk: Viborg og Randers Kommune får ‘alvorlig kritik’ af Datatilsynet

»På grund af en miskonfiguration i konference-app'en har deltagerne i en begrænset periode haft mulighed for at tilgå hinandens professionelle kontaktdetaljer. Så snart vi opdagede det, rettede vi fejlen,« siger Adela Pinkavova, der leder IDC's privacy-afdeling.

IDC oplyser, at siden der er tale om et datalæk, har man informeret Datatilsynet.

Ifølge IDC's nordiske vicedirektør, Charlotte Poulsen, har IDC har brugt app’en til eventafvikling i ‘mange år’ uden sådanne problemer.

Skyldes ikke it-fejl

Eventbuizz, der har udviklet app'en, afviser da også, at der er tale om en programfejl. Eventbuizz ønsker ikke at gå i detaljer med det konkrete eksempel, men oplyser, at deres app generelt indeholder tre indstillinger, der lader brugeren vælge, hvor restriktive de ønsker at være i forhold til GDPR.

Læs også: Cyberangreb mod Tivoli: Bagmænd fik adgang til gæsters personoplysninger

Noget kunne altså tyde på, at IDC har valgt den mindst restriktive model, hvor også deltagernes telefonnumre og mail-adresser fremgår. Udover denne model er der en mellemvej, hvor navn og virksomhed vises. Endelig er der den mest restriktive model, hvor ingen oplysninger vises.

»Vores produkter er nødt til at overholde GDPR, ellers ville vi slet ikke kunne fungere i det miljø og have de kunder, vi har,« siger medstifteren af Eventbuizz, Faizan Akbar.

»Alle kender alle«

Skaden i forhold til, hvor mange personer der har tilgået data om de ca. 200 konferencedeltagere, er dog begrænset, hvis man spørger Charlotte Poulsen.

»Konkret er der tale om, at 52 personers informationer er blevet tilgået af andre deltagere,« siger Adela Pinkavova, der suppleres af Charlotte Poulsen:

»Jeg tror ikke på, at der er nogen, har misbrugt det til noget.«

Charlotte Poulsen orienterede ti dage efter konferencen deltagerne om bruddet på datasikkerheden.

Læs også: Kasper opdagede sikkerhedshul i Bluetooth: »I princippet kunne man angribe fra over en kilometers afstand«

Hun mener dog, at situationen kunne være værre, med henvisning til at konference-deltagerne udgør en sammentømret gruppe.

»Deltagerne på konferencen udgør et community, hvor alle kender alle. Det er derfor ikke den store skade, der er sket, men skaden er der sket, og derfor har jeg måttet kommunikere, som jeg har gjort,« slutter Charlotte Poulsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Silvio Condric

Er nemt nok!
Ikke at vide hvilke indstillinger man skal bruge, når man bruger en tredjeparts-app, er også svært at vide, hvis man ikke selv sørger for at blive informeret om dette.
Derfor synes jeg heller ikke at det er iorden at IDC smider ansvaret(skylden) over på Eventbuizz.

  • 0
  • 1
Silvio Condric

Vi vil åhhh så gerne IT sikkerhed - men det kræver omtanke fra alle aktører ALTID

Nemlig.

Føler lidt at der måske er sket en miskommunikation mellem IDC og Eventbuizz, men det ændrer vel stadigvæk ikke på at det er IDC's ansvar om at blive informeret om hvordan app'en skal indstilles, nu hvor de skulle bruge appen til en konference.

  • 0
  • 1
Torkil Pedersen

IDC lægger et stort arbejde i deres konferencer. Som deltager er det værdifuldt at høre leverandørernes og IDC syn på IT verdenen. Jeg føler mig ikke kompromiteret efter at have deltaget i arrangementet. Der skal ske større fejl før at man skal gribe til hån og spot.

  • 1
  • 1
Bo Andersen

Jeg gider ikke længere deltage i den slags hel- eller halvgratis konferencer, da man efterfølgende er jaget vildt for deltagende udstillere - hvilket jo er logisk (og vel også ok), da intet er gratis.

Så vil jeg hellere betale for konfencen og forblive annonym overfor de udstillere jeg ikke har vist interesse.

  • 0
  • 1
Torkil Pedersen

Sproget og eksemplerne leder tanken hen på fjeren der blev til 5 høns. Udstillere, sponsorer og IDC opfører sig sobert. Leverandørerne kontakter kun en på egen opfordring. Alting er meget professionelt og velordnet. Vil man på gedemarked kan man prøve Version2's security konference😊

  • 0
  • 1
Log ind eller Opret konto for at kommentere