Gentagne persondata-svipsere: Arrangør af it-konference advaret om samme læk for to år siden

Illustration: Thufir | Bigstock
Det var ikke rigtigt, da IDC fortalte Version2, at der ikke tidligere havde været privacy-problemer med selskabets konference-app.

Det var ikke en førstegangs-brøler, da IDC til en sikkerhedskonference den 17. september i år lod alle deltagerne tilgå hinandens mails og numre gennem en app.

Læs også: Datalæk på dansk sikkerhedsmesse: App afslørede deltageres telefonnumre og mailadresser

Præcis det samme skete nemlig for to år siden, da IDC i 2017 afholdt en GDPR-konference, ironisk nok.

Den korte mail-korrespondence, hvor IDC bliver advaret tilbage i 2017 Illustration: Mads Lorenzen

Også dengang var det en deltager på konferencen, der måtte advare IDC om, at firmaet forbrød sig mod GDPR-reglerne ved ikke at passe på informationer, som det ikke havde fået samtykke til at videregive.

Som det fremgår af den korte korrespondance dengang (se illustrationen), løste IDC fejlen ved at ændre i indstillingerne i konference-app’en. Men skaden var sket, og kontaktoplysningerne delt.

Deltager: »Jeg bliver lidt provokeret«

I Version2’s oprindelige artikel om lækket siger Charlotte Poulsen, der er nordisk vicedirektør i IDC, at situationen kunne være værre, og henviser til, at konference-deltagerne udgør en sammentømret gruppe.

»Deltagerne på konferencen udgør et community, hvor alle kender alle. Det er derfor ikke den store skade, der er sket, men skaden er sket,« lød det fra Charlotte Poulsen.

Læs også: Randers Kommune sender CPR-numre i snesevis til tilfældig mand: Blev advaret om mail-problemer flere gange

Men det er Søren Hansen, der opdagede og rapporterede fejlen tilbage i 2017, ikke enig med hende i.

»Når IDC siger, at det er lige meget, fordi der er tale om en sammentømret flok, bliver jeg lidt provokeret,« siger Søren Hansen, der arbejder med sikkerhed og GDPR-compliance for en stor dansk virksomhed, til Version2.

»Jeg synes, det er at latterliggøre en reel problemstilling, og det er slet ikke op til hende at vurdere, om det er O.K. at offentliggøre vores oplysninger.«

Læs også: GDPR-smæk: Viborg og Randers Kommune får ‘alvorlig kritik’ af Datatilsynet

IDC har ingen kommentarer til de nye oplysninger.

»Vi har brugt applikationen til eventafvikling i mange år uden problemer,« lød det fra Charlotte Poulsen.

Opdager ikke selv fejl

Søren Hansen husker ikke, om der også dengang var tale om den danskudviklede Eventbuizz-app, men det lyder, som om problemerne for to år siden og i dag har samme karakter som til IDC’s konference i september i år.

Læs også: Kasper opdagede sikkerhedshul i Bluetooth: »I princippet kunne man angribe fra over en kilometers afstand«

For begge læk gælder, at IDC ikke i første omgang selv opdagede fejlen.

I stedet er det en deltager, der begge gange oplyser arrangøren, at man kan se for mange informationer om de andre deltagere. Herefter går IDC ind og omkonfigurerer app’en, så den overholder GDPR-reglerne, og der kun vises informationer, de besøgende har givet samtykke til at dele.

»Efter mailkorrespondencen tjekkede jeg, om der var kommet styr på tingene, og det var der,« slutter Søren Hansen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne Petersen

Jeg tænker, at det er med vilje, at IDC giver alle deltagerne adgang til de andre deltageres kontaktoplysninger.
Mange deltager på konfencer for at finde kunder, og der er det en fordel hvis man har så mange kontaktoplysninger som muligt.
Altså det tiltrækker flere betalende deltagere, hvis de ved at de kan få de andres kontaktoplysninger. Også selvom det ikke er lovligt.

  • 2
  • 0
Michael Olsen

Nu anvender den virksomhed som jeg er i også EventBuizz. Det er en option i App'en om man ønsker at deltager skal kunne se hinandens oplysninger, så hvis de kan det - og ikke burde kunne det - så er det almindelig sjusk i opsætningen af eventet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere