menu close Teknologiens Mediehus

email search

person Konto arrow_drop_down

Opret konto Log ind

person Konto arrow_drop_down

Opret konto Log ind

Nyheder
Blogs
Debat
Job
Sektioner
Mere
IT-talent
Infosecurity
- Online seminarer
- infosecurity.dk
Tip os anonymt

Teknologiens mediehus

Nyheder og debat om den teknologiske udvikling

Nyheder til it-professionelle

Dybt indblik i udvalgte brancher

Tech Management

Ledelse, strategi og teknologi

Danmarks største jobplatform for ingeniører, IT-professionelle og tekniske specialister

Teknologiens Mediehus

Læs mere om vores mediebrands, events, rekrutterings- og annoncemuligheder

Nyheder
Blogs
Debat
Job
Sektioner
Mere
IT-talent
Infosecurity
- Online seminarer
- infosecurity.dk
Tip os anonymt

Datatilsynet i alvorlig kritik af Zoologisk Have: »Alt for let« at få adgang til data om årskortholdere

Illustration: Frank Rønsholt / Zoo

Zoologisk Have i København får alvorlig kritik af Datatilsynet i en sag, hvor det har været alt for let for uvedkommende at få adgang til årskortholderes persondata.

Christoffer Elmann Ranhauge Fredag, 4. december 2020 - 10:091

Det har været alt for let for uvedkommende at få adgang til personoplysninger på årskortholdere i Zoologisk Have i København.

Sådan lyder det fra Datatilsynet, der udtaler alvorlig kritik af Zoo på baggrund af et anmeldt brud på persondatasikkerheden.

Ifølge GDPR-myndigheden har det tekniske setup af loginsiden for årskortholdere gjort det for nemt for fremmede personer at få adgang til personoplysninger på andre.

»Afgørelsen er truffet, fordi Datatilsynet fandt, at det ikke var tale om passende sikkerhed, da det havde været alt for nemt at opnå uautoriseret adgang til årskortholderes personoplysninger. Login for årskortholdere var en kombination af to numeriske værdier uden begrænsning i antallet af loginforsøg,« skriver Datatilsynet i sin afgørelse.

Version2 kunne tidligere i år fortælle om en softwareingeniør, der havde påvist, hvor nemt det var at få adgang til årskortholderes persondata såsom navne, adresser, mails, telefonnumre samt muligheden for at ændre i abonnementet.

Hullet kommunikation

Udover selve sikkerhedsbruddet får Zoo også kritik for den måde, som haven har kommunikeret på om sagen. Det gælder både overfor Datatilsynet og overfor de berørte kunder.

Denne del af kritikken skyldes, at Zoo ikke lavede en retvisende beskrivelse til Datatilsynet om, hvad sikkerhedsbruddet handlede om.

Det samme gælder for den information, som Zoo sendte til de berørte kunder om sikkerhedsbruddet og de foranstaltninger, som Zoo havde truffet for at håndtere bruddet.

Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

Nyhedsbreve

Version2 daglige It-nyheder

Version2 It-sikkerhed

Datacenter & Cloud

Ingeniøren daglige nyheder

Ingeniøren Weekend

Elektronik & IT

Industri 4.0

Jobfinder karrierenyheder

ING/Klima

ING/Coronavirus

E-mail *

Ingeniørens personaliserede nyhedsbrev

Tilmeld dig fra din brugerprofil

Jeg accepterer brugerbetingelserne

Ved at tilmelde dig accepterer du vores Brugerbetingelser, og du accepterer, at Teknologiens Mediehus og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, job og tilbud m.m. via telefon og e-mail. I nyhedsbreve, e-mails fra Teknologiens Mediehus kan der forefindes markedsføring fra samarbejdspartnere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

04. dec 2020Denne artikel
03. jan 2020Softwareingeniør: Alt for nemt at få adgang til persondata fra zoo-årskort

Kommentarer (1)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

#1 Kristian Klausen 4. december 2020 - 12:17

Log ind eller Opret konto for at kommentere
Anmeld denne kommentar

Hullet kommunikation

Zoo sendte følgende ud:

Softwareingeniøren har udelukkende påpeget den potentielle sårbarhed, som nu er blevet lukket. Dine medlemsoplysninger har derfor ikke været delt eller på anden måde være kompromitteret.

Som bygger på:

Datatilsynet lægger til grund, at Zoos konklusion om, at der ikke er sket misbrug af sårbarheden i log-in, bygger på en undersøgelse af logfiler fra værktøjet Analytics, som viser, at i perioden 25. maj 2018 til 3. januar 2020, har der været 12468 sessioner totalt og medlemsdata er tilgået 44328 gange. Endvidere lægger Zoo vægt på, at ingen årskortholdere har meldt om uautoriserede ændringer i deres data.

Google Analytics er så vidt jeg ved en ren client-side ting, så det kan man jo ikke konkludere noget på.

Datatilsynet er heller ikke helt tilfreds:

Det er Datatilsynets vurdering, at de omtalte logfiler primært fokuserer på den ordinære brugeradfærd, og efter tilsynets opfattelse ikke er udtryk for en undersøgelse, der er optimeret til at opdage eventuelt misbrug. Datatilsynet er af den opfattelse, at der også i situationer hvor brugsmønsteret forekommer normalt, kan foreligge en misbrugssituation. Det er altså ikke muligt – alene på denne baggrund – at konkludere, at den potentielle mulighed for uautoriseret adgang ikke er udnyttet. Uautoriseret adgang til oplysninger kan ske på en måde, der ikke vækker opsigt, fordi den ligner normal datatrafik, og dermed ikke opdages ved en undersøgelse, som den af Zoo beskrevne.
[...]
Det er endvidere Datatilsynets opfattelse, at de øvrige registreredes er blevet udsat for en øget konkret risiko gennem de oplysninger Zoo selv har offentliggjort (hjemmesideteksten), idet disse registrerede fejlagtigt kunne tro at deres oplysninger ikke var i nogen fare for at have været kompromitteret. Det følger af princippet i databeskyttelsesforordnings artikel 5, stk. 1, litra a, at princippet om rimelig og gennemsigtig behandling tilsiger, at fejlagtigt eller ikke fyldestgørende givet information berigtiges, dette uanset om risikoen for de registreredes rettigheder måtte være høj eller ej.

8
0

Log ind eller Opret konto for at kommentere

Mere om GDPR

Datatilsynet overdrager TikTok-sag til Irland

Privacy Overvågning GDPR

4

Tysk firma får kæmpe GDPR-bøde for overvågning af egne medarbejdere

Overvågning Privacy GDPR

3

Midt i Schrems II-hovedpine: Datatilsynet vil føre tilsyn med dataoverførsler ud af EU i år

GDPR Jura Persondata

Job fra Jobfinder

Mest debatteredeMest læste

Webinars and Whitepapers

Webinar

ctrlX AUTOMATION - Automation like a Smartphone

Whitepaper

Endpoint Detection and Response - Advanced Threat Detection, Focused Investigation And Effective Response

Webinar

IT Company Rank Insights Seminar

Få nye job via e-mail

Upload din jobannonce

Job fra Jobfinder

Vi søger skarpe elever til Netcompany Operations

Digital Test Manager

Specialist i Informationssikkerhed

IT & CAD Platform Manager

Senior Architect

Teknisk teamlead til infrastruktur i Netcompany

Project Manager - eLearning, Education and Communication

Dygtig konsulent med projekterfaring inden for sundhedsvæsnet kombineret med stærke It-faglige kompetencer til patientkald- og alarmløsningshåndtering

Platformsarkitekt - Azure Cloud

GIS- og dataspecialist

Laboratorieingeniør til institut for datalogi

Dynamics AX Konsulenter

Om Teknologiens Mediehus

Vi bygger bro med stærke vidensmedier, relevante events, nærværende netværk og Teknologiens Jobfinder, hvor vi forbinder kandidater og virksomheder.

Mere om Teknologiens Mediehus

Abonnement & nyhedsbreve

Læs her om vores forskellige abonnementstyper

Med vores nyhedsbreve får du et fagligt overblik og adgang til levende debat mellem fagfolk.

Annoncering

Teknologiens Mediehus tilbyder en bred vifte af muligheder for annoncering over for ingeniører og it-professionelle.

Hvad kan vi tilbyde?

Tech Relations leverer effektiv formidling af dit budskab til ingeniører og it-professionelle.

Teknologiens Jobfinder

Danmarks største jobplatform for ingeniører, it-professionelle og tekniske specialister.

Find job
Indryk job
Kontakt salg

Kontakt

Kalvebod Brygge 33. 1560 København V

Adm. direktør
Christina Blaagaard Collignon

Chefredaktør
Trine Reitz Bjerregaard

Kontakt redaktionen

Om Kontakt Vores politikker Annoncer hos os Cookiedeklaration

© 2006 - 2021 Teknologiens Mediehus