Fejl i NemID gav adgang til persondata: Nu får E-boks kritik

22. marts 2022 kl. 13:46
Fejl i NemID gav adgang til persondata: Nu får E-boks kritik
Illustration: Mads Allingstrup, Nets.
Datatilsynet udtaler kritik af E-boks, efter brugere uautoriseret kunne tilgå virksomhedsprofiler i E-boks Express sidste år.
Artiklen er ældre end 30 dage

I omkring to måneder sidste forår kunne borgere uautoriseret komme ind på virksomheders profiler på E-boks Express, der indeholder oplysninger om firmaet og den tilknyttede kontaktperson. Derfor får E-boks nu kritik af Datatilsynet, skriver myndigheden på sin hjemmeside.

Sagen startede i april 2021, efter en borger kontaktede Datatilsynet og gjorde opmærksom på den uautoriserede adgang. Den 22. marts havde han logget ind på e-Boks Express med NemID for at tilgå sin egen profil, men i stedet kom han direkte ind på en anden brugers profil.

Her kunne han tilgå navnet på virksomheden, navnet på kontaktpersonen, virksomhedens adresse, cvr nummer og overskriften samt datoen på et afsendt dokument.

E-Boks Express

E-Boks Express er en selvbetjeningsportal, som små og mellemstore virksomheder kan tilmelde sig. Her kan de sende beskeder og dokumenter til e-Boks’ slutbrugere, men kan dog ikke modtage beskeder eller dokumenter selv.

Efter beskeden er sendt, kan virksomheden se den selvvalgte titel og dato for afsendelse. Man skal bruge NemID eller NemID Erhverv for at logge ind på profilen, hvor virksomheden kan godkende specifikke brugere, eksempelvis udvalgte medarbejdere, til profilen.

Og det er et brud på GDPR, vurderer Datatilsynet, for E-boks skulle have testet de forskellige brugerscenarier ved login med NemID for at sikre mod databrud:

Artiklen fortsætter efter annoncen

»Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at E-Boks’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1,« skriver tilsynsmyndigheden i afgørelsen.

Fejl hos Nets

Den uautoriserede adgang skyldes en fejl hos Nets, som drifter NemID, med brugervalideringen af NemID og NemID Erhverv.

Ifølge Nets omfatter fejlen kun brugere af nøglekort, som er tilknyttet virksomheder, der bruger E-boks Express. Man uddyber over for Datatilsynet, at problemet ‘lå i et såkaldt »sub'-felt, som indeholder navn på ID type – i dette tilfælde NemID med nøglekort – og de unikke CVR- og RID-værdier.«

RID-nummeret angiver en unik identifikation for en medarbejder i en virksomhed. Læsningen af både CVR og RID fejlede for brugeres NemID, når de gik ind på E-boks Express. Derfor blev værdien sat til nul for brugere med fysisk nøglekort.

Artiklen fortsætter efter annoncen

Nets uddyber, at antallet af logins med nøglekort i E-boks Express var 227 i marts 2021 og 28 i april samme år, og det er den gruppe af brugere, som potentielt har udnyttet fejlen.

Det kunne første gang lade sig gøre den 4. marts, og den 27 april havde leverandøren løst problemet ved at opdatere koden, så CVR- og RID-værdierne kunne læses korrekt.

Manglede at teste login

Datatilsynet skriver i afgørelsen, at dataansvarlige ifølge GDPR skal udføre organisatoriske og tekniske sikkerhedstiltag for at mindske risikoen for, at persondata kompromitteres:

»Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.«

Artiklen fortsætter efter annoncen

E-Boks har baseret persondatasikkerheden på, at man bruger NemID til login, men da det er e-Boks, som er dataansvarlig, skulle man have testet, om det var muligt for brugere at få uautoriseret adgang til andre virksomhedsprofiler gennem selvbetjeningsløsningen, understreger tilsynet:

»Datatilsynet finder på ovenstående baggrund, at E-Boks – ved at ikke at have foretaget test af alle relevante brugsscenarier ved login i E-Boks Express med NemID Erhverv/NemID medarbejdersignatur med nøglekort – ikke har truffet passende organisatoriske og tekniske foranstaltninger,« og derfor udtaler myndigheden kritik.

### Tilmeld dig V2 Security 2022 | Danmarks største messe om cybersikkerhed
<drupal-media data-align="center" data-caption="" data-embed-button="media" data-entity-type="media" data-view-mode="inline_article" data-entity-uuid="d11efb6f-b1e1-4c44-84db-67a93fd9c2b0">This placeholder should not be rendered.</drupal-media>
[Tilmeld dig messen her](https://www.v2security.dk/)

Ingen kommentarer endnu.  Start debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger