Datalæk på dansk sikkerhedsmesse: App afslørede deltageres telefonnumre og mailadresser

6 kommentarer.  Hop til debatten
Datalæk på dansk sikkerhedsmesse: App afslørede deltageres telefonnumre og mailadresser
Illustration: Wikimedia Commons.
Mens konference-arrangør melder om systemfejl i forbindelse med datalæk, afviser app-leverandør, at det har noget på sig.
Reportage2. oktober 2019 kl. 05:11
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ændret 08:53 med uddybende forklaringer fra IDC. Før fremgik det, at IDC henviste til en teknisk fejl. Der er imidlertid tale om en miskonfiguration.

Under den årlige IDC-it-sikkerhedskonference i København d. 17 september var det muligt for deltagerne at se andre deltageres mailadresser og telefonnumre gennem tredjeparts-app’en Eventbuizz, der fungerer som en moderne gæsteliste.

Den skulle altså kun vise, hvem der ellers var på eventet, og hvor de andre deltagere kommer fra.

Med lækket illustrerer IDC – noget ufrivilligt – at det kan være svært at holde alle fronter sikre, når det gælder overholdelsen af GDPR og beskyttelse af persondata. Den europæiske persondataforordning var i øvrigt et af fokusområderne på konferencen.

Artiklen fortsætter efter annoncen

»På grund af en miskonfiguration i konference-app'en har deltagerne i en begrænset periode haft mulighed for at tilgå hinandens professionelle kontaktdetaljer. Så snart vi opdagede det, rettede vi fejlen,« siger Adela Pinkavova, der leder IDC's privacy-afdeling.

IDC oplyser, at siden der er tale om et datalæk, har man informeret Datatilsynet.

Ifølge IDC's nordiske vicedirektør, Charlotte Poulsen, har IDC har brugt app’en til eventafvikling i ‘mange år’ uden sådanne problemer.

Skyldes ikke it-fejl

Eventbuizz, der har udviklet app'en, afviser da også, at der er tale om en programfejl. Eventbuizz ønsker ikke at gå i detaljer med det konkrete eksempel, men oplyser, at deres app generelt indeholder tre indstillinger, der lader brugeren vælge, hvor restriktive de ønsker at være i forhold til GDPR.

Artiklen fortsætter efter annoncen

Noget kunne altså tyde på, at IDC har valgt den mindst restriktive model, hvor også deltagernes telefonnumre og mail-adresser fremgår. Udover denne model er der en mellemvej, hvor navn og virksomhed vises. Endelig er der den mest restriktive model, hvor ingen oplysninger vises.

»Vores produkter er nødt til at overholde GDPR, ellers ville vi slet ikke kunne fungere i det miljø og have de kunder, vi har,« siger medstifteren af Eventbuizz, Faizan Akbar.

»Alle kender alle«

Skaden i forhold til, hvor mange personer der har tilgået data om de ca. 200 konferencedeltagere, er dog begrænset, hvis man spørger Charlotte Poulsen.

»Konkret er der tale om, at 52 personers informationer er blevet tilgået af andre deltagere,« siger Adela Pinkavova, der suppleres af Charlotte Poulsen:

»Jeg tror ikke på, at der er nogen, har misbrugt det til noget.«

Charlotte Poulsen orienterede ti dage efter konferencen deltagerne om bruddet på datasikkerheden.

Hun mener dog, at situationen kunne være værre, med henvisning til at konference-deltagerne udgør en sammentømret gruppe.

»Deltagerne på konferencen udgør et community, hvor alle kender alle. Det er derfor ikke den store skade, der er sket, men skaden er der sket, og derfor har jeg måttet kommunikere, som jeg har gjort,« slutter Charlotte Poulsen.

6 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
6
7. oktober 2019 kl. 19:51

Sproget og eksemplerne leder tanken hen på fjeren der blev til 5 høns. Udstillere, sponsorer og IDC opfører sig sobert. Leverandørerne kontakter kun en på egen opfordring. Alting er meget professionelt og velordnet. Vil man på gedemarked kan man prøve Version2's security konference?

5
4. oktober 2019 kl. 16:22

Jeg gider ikke længere deltage i den slags hel- eller halvgratis konferencer, da man efterfølgende er jaget vildt for deltagende udstillere - hvilket jo er logisk (og vel også ok), da intet er gratis.

Så vil jeg hellere betale for konfencen og forblive annonym overfor de udstillere jeg ikke har vist interesse.

4
3. oktober 2019 kl. 19:05

IDC lægger et stort arbejde i deres konferencer. Som deltager er det værdifuldt at høre leverandørernes og IDC syn på IT verdenen. Jeg føler mig ikke kompromiteret efter at have deltaget i arrangementet. Der skal ske større fejl før at man skal gribe til hån og spot.

3
2. oktober 2019 kl. 15:44

Vi vil åhhh så gerne IT sikkerhed - men det kræver omtanke fra alle aktører ALTID

Nemlig.

Føler lidt at der måske er sket en miskommunikation mellem IDC og Eventbuizz, men det ændrer vel stadigvæk ikke på at det er IDC's ansvar om at blive informeret om hvordan app'en skal indstilles, nu hvor de skulle bruge appen til en konference.

2
2. oktober 2019 kl. 14:42

Vi vil åhhh så gerne IT sikkerhed - men det kræver omtanke fra alle aktører ALTID

1
2. oktober 2019 kl. 10:21

Er nemt nok! Ikke at vide hvilke indstillinger man skal bruge, når man bruger en tredjeparts-app, er også svært at vide, hvis man ikke selv sørger for at blive informeret om dette. Derfor synes jeg heller ikke at det er iorden at IDC smider ansvaret(skylden) over på Eventbuizz.