Hacker stjal 12.391 e-mailadresser fra dansk it-virksomhed

Illustration: Ylivdesign / Bigstock
Virksomheden Conventus, der leverer it-løsninger til danske foreninger, blev i slutningen af juli ramt af et hackerangreb, hvor over 12.000 e-mailadresser på kunder blev lækket.

12.391 e-mailadresser på kunder blev stjålet fra it-virksomheden Conventus i sommer. Hackeren bag angrebet havde ifølge virksomheden adgang til deres system mellem den 28. juli og den 31. juli i år. Det skriver Børsen.

It-virksomheden oplyser på sin hjemmeside, at de tilbyder digitale løsninger til danske foreninger, som for eksempel skal hjælpe med bogføring i regnskaber, booking af hal-tider og hjælp til kommunale ansøgninger.

»På den måde leverer vi en tidsbesparende løsning, der giver frivillige mere tid til at dyrke og instruere deres yndlingssport,« skriver de på deres hjemmeside.

Men nu leverer de måske også lidt af en hovedpine til kunderne bag de 12.391 e-mailadresser, der er blevet stjålet.

Hackeren bag angrebet kan nemlig sælge e-mailadresserne videre, siger sikkerhedsekspert Peter Kruse til Børsen, mens direktør i Conventus Jimmy Damgaard medgiver, at de ikke kender konsekvenserne af angrebet.

Conventus har angiveligt selv kunne udpege gerningsmanden bag angrebet, som ifølge Jimmy Damgaard er en dansk mand, der var blevet smidt ud af en midtjysk idrætsforening, som er kunde hos Conventus. Som følge af det brød han ind i Conventus’ systemer og stjal 12.391 e-mailadresser, skriver Børsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Gert G. Larsen

Er det ikke en GDPR-sag? Hvor stor bliver bøden?

På computerworld står der yderligere: ""Hackeren må under ingen omstændigheder få fat i oplysningerne. Adgangen kom fra et eller andet værktøj, som gav et mikroskopisk lille hul i vores system," siger Jimmi Damgaard til Børsen."

Hvad er en mikroskopisk lille hul i et system? Det er vel ret stort, hvis man bare kan suge persondata ud af det?

Er det "kun" emailadresserne? Eller er det også navne, eller tilknytning til noget?

Ud fra antallet kunne man gætte på at det er alle Conventus' kunders kunder. Er det korrekt? Så ved at angribe én af deres kunder, kan man få adgang til andre? Så kundeadskillelse er heller ikke helt på plads? Eller hvad?

Der er mange spændende detaljer i denne sag, som der kan graves lidt videre i :-)

  • 10
  • 0
#5 Jakob Friis

Ifølge deres egen sikkerhedspolitik, skal kunden informeres uden unødig forsinkelse

"Conventus skal uden unødig forsinkelse underrette Kunden efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden."

Jeg er både administrator for en forening, og registreret som slutbruger på conventus, men jeg har intet hørt fra dem. Det kan selvfølgelig skyldes, at min email ikke er iblandt dem der er blevet stjålet.

  • 0
  • 0
#8 Christian Nobel

Slutbrugerne bliver identificeret på deres mailadresse. Jeg har været medlem af 2 forskellige foreninger, som brugte/bruger Conventus. Jeg ville egentlig have forskellige kodeord til de 2 foreninger. Det kan man så ikke.

Det er sådan set legitimt nok.

Der er en brugerbase, hvor email benyttes som brugernavn (det kan så diskuteres om det er en god ide), hvorefter brugeren kan knyttes til flere foreninger - det kan være smart hvis en bruger håndterer flere foreninger.

Hvis man endelig ønsker skarp adgrænsning, så må man have flere mailkonti (eller finde ud af om det er muligt at bruge andet end email som brugernavn) - at have forskellige passwords men samme kontonavn er en no-goer.

  • 0
  • 0
Log ind eller Opret konto for at kommentere