Datatilsynet i alvorlig kritik af Zoologisk Have: »Alt for let« at få adgang til data om årskortholdere

Illustration: Frank Rønsholt / Zoo
Zoologisk Have i København får alvorlig kritik af Datatilsynet i en sag, hvor det har været alt for let for uvedkommende at få adgang til årskortholderes persondata.
1

Det har været alt for let for uvedkommende at få adgang til personoplysninger på årskortholdere i Zoologisk Have i København.

Sådan lyder det fra Datatilsynet, der udtaler alvorlig kritik af Zoo på baggrund af et anmeldt brud på persondatasikkerheden.

Ifølge GDPR-myndigheden har det tekniske setup af loginsiden for årskortholdere gjort det for nemt for fremmede personer at få adgang til personoplysninger på andre.

»Afgørelsen er truffet, fordi Datatilsynet fandt, at det ikke var tale om passende sikkerhed, da det havde været alt for nemt at opnå uautoriseret adgang til årskortholderes personoplysninger. Login for årskortholdere var en kombination af to numeriske værdier uden begrænsning i antallet af loginforsøg,« skriver Datatilsynet i sin afgørelse.

Version2 kunne tidligere i år fortælle om en softwareingeniør, der havde påvist, hvor nemt det var at få adgang til årskortholderes persondata såsom navne, adresser, mails, telefonnumre samt muligheden for at ændre i abonnementet.

Hullet kommunikation

Udover selve sikkerhedsbruddet får Zoo også kritik for den måde, som haven har kommunikeret på om sagen. Det gælder både overfor Datatilsynet og overfor de berørte kunder.

Denne del af kritikken skyldes, at Zoo ikke lavede en retvisende beskrivelse til Datatilsynet om, hvad sikkerhedsbruddet handlede om.

Det samme gælder for den information, som Zoo sendte til de berørte kunder om sikkerhedsbruddet og de foranstaltninger, som Zoo havde truffet for at håndtere bruddet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kristian Klausen

Zoo sendte følgende ud:

Softwareingeniøren har udelukkende påpeget den potentielle sårbarhed, som nu er blevet lukket. Dine medlemsoplysninger har derfor ikke været delt eller på anden måde være kompromitteret.

Som bygger på:

Datatilsynet lægger til grund, at Zoos konklusion om, at der ikke er sket misbrug af sårbarheden i log-in, bygger på en undersøgelse af logfiler fra værktøjet Analytics, som viser, at i perioden 25. maj 2018 til 3. januar 2020, har der været 12468 sessioner totalt og medlemsdata er tilgået 44328 gange. Endvidere lægger Zoo vægt på, at ingen årskortholdere har meldt om uautoriserede ændringer i deres data.

Google Analytics er så vidt jeg ved en ren client-side ting, så det kan man jo ikke konkludere noget på.

Datatilsynet er heller ikke helt tilfreds:

Det er Datatilsynets vurdering, at de omtalte logfiler primært fokuserer på den ordinære brugeradfærd, og efter tilsynets opfattelse ikke er udtryk for en undersøgelse, der er optimeret til at opdage eventuelt misbrug. Datatilsynet er af den opfattelse, at der også i situationer hvor brugsmønsteret forekommer normalt, kan foreligge en misbrugssituation. Det er altså ikke muligt – alene på denne baggrund – at konkludere, at den potentielle mulighed for uautoriseret adgang ikke er udnyttet. Uautoriseret adgang til oplysninger kan ske på en måde, der ikke vækker opsigt, fordi den ligner normal datatrafik, og dermed ikke opdages ved en undersøgelse, som den af Zoo beskrevne.

[...]

Det er endvidere Datatilsynets opfattelse, at de øvrige registreredes er blevet udsat for en øget konkret risiko gennem de oplysninger Zoo selv har offentliggjort (hjemmesideteksten), idet disse registrerede fejlagtigt kunne tro at deres oplysninger ikke var i nogen fare for at have været kompromitteret. Det følger af princippet i databeskyttelsesforordnings artikel 5, stk. 1, litra a, at princippet om rimelig og gennemsigtig behandling tilsiger, at fejlagtigt eller ikke fyldestgørende givet information berigtiges, dette uanset om risikoen for de registreredes rettigheder måtte være høj eller ej.

  • 8
  • 0
Log ind eller Opret konto for at kommentere

Ilva-bøde er skrumpet, men det ændrer ikke på Datatilsynets praksis

1

Microsoft forsikrer om lovlige produkter, efter Stockholm dropper 365

21

Manglede basal sikkerhed: Det norske parlament står til millionbøde efter hackerangreb

2
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Byg virtuelle prototyper med multifysikværktøj, og undgå overdesignede produkter
Whitepaper
Whitepaper
Locate security threats across data locations
Webinar
Webinar
Sikkerhed i kølvandet på FE-skandalen
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder
Erfaren udvikler til lille kontor i stor styrelse
Informationsarkitekt til kontoret Enterprisearkitektur og Strategi
Programtestmanager til større transformationsprogram, som løser vigtig samfundsopgave
Backend udvikler til videreudvikling af WebGIS løsning til Vurderingsstyrelsen
It arkitekt til it-sekretariat på Statens Serum Institut
Fagdirektør med ansvar for samfundsvigtige it-systemer, der understøtter person- og ejendomsbeskatningen i Skatteforvaltningen
Dynamisk backend-udvikler med ambitioner om at gøre en forskel for sundhedssektoren
IT Compliance & Validation Specialist
Justitsministeriets departement søger en erfaren projektleder til at lede et stort og tværgående digitaliseringsprojekt
AI Specialist for the Development of Robots for the Food Industry
Teknologisk Udviklingschef til Dagbladet Information
Sikkerhedsspecialist og teamkoordinator til DevSecOps team