'Fatal kodefejl' blotlagde journalisters persondata

Firmaet bag Dansk Journalistforbunds hjemmeside har lavet en redegørelse om forløbet, der har ført til, at uvedkommende har fået adgang til medlemmers personoplysninger.

Det var en fejl i forhold til en mailskabelon, der i går, tirsdag, førte til, at uvedkommende fik adgang til personoplysninger for medlemmer af Dansk Journalistforbund (DJ).

Det fremgår af en redegørelse, som firmaet bag danskjournalistforbund.dk, Reload, har udgivet. (PDF)

»Problemet skyldes en lille, men fatal kodefejl i den del af systemet, der har til formål at udsende information om brugerlogin til journalistforbundet.dk,« står der i redegørelsen, som er underskrevet administrerende direktør i Reload Rasmus Luckow-Nielsen.

Det har været muligt at få adgang til medlemmers persondata via et link i en mail fra Dansk Journalistforbund.

Læs også: Journalistforbund blotlægger medlemmers personoplysninger

Af redegørelsen fremgår det, at mailen blev sendt ud i forbindelse med Dansk Journalistforbunds nye site klokken 11.47, og at mailen indeholdt et link, der kunne bruges til engangslogin for medlemmerne.

Mailen blev sendt ud, fordi Dansk Journalistforbund gerne ville give alle medlemmer nem adgang til det nye site.

»Desværre har der været en fejl i koden, der genererede disse mails, hvilket har betydet, at mange medlemmer har modtaget et forkert medlemsnummer og forkert engangslogin-link, hvilket har givet dem mulighed for at logge ind som en anden bruger,« står der i redegørelsen fra Reload.

email-skabelon

I forhold til hvori den 'fatale kodefejl' har bestået, fremgår det af redegørelsen, at der er tale om en mailskabelon, der ikke blev fornyet.

»Koden benytter en email-skabelon med markører til at indsætte medlemsnummer og et personligt engangslogin-link. Emails bliver udsendt til ti medlemmer ad gangen, men kodefejlen medførte, at skabelonen ikke blev nulstillet korrekt mellem hver udsendelse,« står der i redegørelsen, som fortsætter:

»Dermed fungerede skabelonen efter hensigten til det første medlem i hver gruppe. For de efterfølgende ni medlemmer indeholdt skabelonen derimod den tekst, der var blevet sendt til det første medlem - uden markører.«

Ifølge redegørelsen opstod fejlen, fordi udvikleren, der har været ansvarlig for denne del af systemet, har ikke fået gennemtestet funktionaliteten tilstrækkeligt med et forløb, der involverede udsendelse til mere end én bruger.

»Fejlen er desværre heller ikke blevet fundet af den efterfølgende test hos DJ. Dette på trods af at et forløb med flere modtagere er beskrevet som en del af testscenariet,« står der videre.

Oplysningerne, som uvedkommende har kunnet få adgang til om journalistforbundets medlemmer, er blandt andet medlemsnummer, for- og efternavn, adresse, mailadresse, telefonnummer, titel og arbejdsgiver. Dataene har dog højst været tilgængelige for en enkelt uvedkommende person, bliver det understreget.

»Det er her vigtigt at pointere, at en given brugers oplysninger maksimalt kan have været vist til én anden udestående medlem, idet linket kun fungerer for den første, der trykker på det,« står der i redegørelsen, som fortsætter:

»I den time, der gik, inden vi fik lukket ned for adgangen, nåede 732 personer at logge ind - vi kan ikke se, hvor mange der var uretmæssige logins. Det svarer til ca. 4 pct. af de samlede udsendte mails.«

Følsom personoplysning

I redegørelsen bliver det understreget, at der ikke har været adgang til medlemmers cpr-nummer.

Kontorchef i Datatilsynet Lena Andersen har tilbage i 2014 forklaret til Version2, at cpr-nummeret ikke er en følsom personoplysning, men at det er en oplysning, der nyder en høj beskyttelse i persondataloven.

Samme budskab kom fra den daværende økonomi- og indenrigsminister, Margrethe Vestager, ligeledes i 2014, i et indlæg i Politiken.

Mens det altså ikke har været muligt at se DJ-medlemmers cpr-numre, så har det, de lækkede persondata taget i betragtning, været muligt for uvedkommende at identificere enkelte DJ-medlemmer.

Netop medlemskab af en fagforening regnes for en følsom personoplysning på linje med helbredsoplysninger og oplysninger om strafbare forhold, fremgår det af Datatilsynets hjemmeside.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (0)

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 13:45

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017