Datatilsynet i alvorlig kritik af Zoologisk Have: »Alt for let« at få adgang til data om årskortholdere

Illustration: Frank Rønsholt / Zoo
Zoologisk Have i København får alvorlig kritik af Datatilsynet i en sag, hvor det har været alt for let for uvedkommende at få adgang til årskortholderes persondata.

Det har været alt for let for uvedkommende at få adgang til personoplysninger på årskortholdere i Zoologisk Have i København.

Sådan lyder det fra Datatilsynet, der udtaler alvorlig kritik af Zoo på baggrund af et anmeldt brud på persondatasikkerheden.

Ifølge GDPR-myndigheden har det tekniske setup af loginsiden for årskortholdere gjort det for nemt for fremmede personer at få adgang til personoplysninger på andre.

»Afgørelsen er truffet, fordi Datatilsynet fandt, at det ikke var tale om passende sikkerhed, da det havde været alt for nemt at opnå uautoriseret adgang til årskortholderes personoplysninger. Login for årskortholdere var en kombination af to numeriske værdier uden begrænsning i antallet af loginforsøg,« skriver Datatilsynet i sin afgørelse.

Version2 kunne tidligere i år fortælle om en softwareingeniør, der havde påvist, hvor nemt det var at få adgang til årskortholderes persondata såsom navne, adresser, mails, telefonnumre samt muligheden for at ændre i abonnementet.

Hullet kommunikation

Udover selve sikkerhedsbruddet får Zoo også kritik for den måde, som haven har kommunikeret på om sagen. Det gælder både overfor Datatilsynet og overfor de berørte kunder.

Denne del af kritikken skyldes, at Zoo ikke lavede en retvisende beskrivelse til Datatilsynet om, hvad sikkerhedsbruddet handlede om.

Det samme gælder for den information, som Zoo sendte til de berørte kunder om sikkerhedsbruddet og de foranstaltninger, som Zoo havde truffet for at håndtere bruddet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kristian Klausen

Zoo sendte følgende ud:

Softwareingeniøren har udelukkende påpeget den potentielle sårbarhed, som nu er blevet lukket. Dine medlemsoplysninger har derfor ikke været delt eller på anden måde være kompromitteret.

Som bygger på:

Datatilsynet lægger til grund, at Zoos konklusion om, at der ikke er sket misbrug af sårbarheden i log-in, bygger på en undersøgelse af logfiler fra værktøjet Analytics, som viser, at i perioden 25. maj 2018 til 3. januar 2020, har der været 12468 sessioner totalt og medlemsdata er tilgået 44328 gange. Endvidere lægger Zoo vægt på, at ingen årskortholdere har meldt om uautoriserede ændringer i deres data.

Google Analytics er så vidt jeg ved en ren client-side ting, så det kan man jo ikke konkludere noget på.

Datatilsynet er heller ikke helt tilfreds:

Det er Datatilsynets vurdering, at de omtalte logfiler primært fokuserer på den ordinære brugeradfærd, og efter tilsynets opfattelse ikke er udtryk for en undersøgelse, der er optimeret til at opdage eventuelt misbrug. Datatilsynet er af den opfattelse, at der også i situationer hvor brugsmønsteret forekommer normalt, kan foreligge en misbrugssituation. Det er altså ikke muligt – alene på denne baggrund – at konkludere, at den potentielle mulighed for uautoriseret adgang ikke er udnyttet. Uautoriseret adgang til oplysninger kan ske på en måde, der ikke vækker opsigt, fordi den ligner normal datatrafik, og dermed ikke opdages ved en undersøgelse, som den af Zoo beskrevne.

[...]

Det er endvidere Datatilsynets opfattelse, at de øvrige registreredes er blevet udsat for en øget konkret risiko gennem de oplysninger Zoo selv har offentliggjort (hjemmesideteksten), idet disse registrerede fejlagtigt kunne tro at deres oplysninger ikke var i nogen fare for at have været kompromitteret. Det følger af princippet i databeskyttelsesforordnings artikel 5, stk. 1, litra a, at princippet om rimelig og gennemsigtig behandling tilsiger, at fejlagtigt eller ikke fyldestgørende givet information berigtiges, dette uanset om risikoen for de registreredes rettigheder måtte være høj eller ej.

  • 8
  • 0
Log ind eller Opret konto for at kommentere