»Helt ekstraordinært« fjerner e-Boks 2.046 fejlleverede lønsedler

Efter mandagens it-fejl griber e-Boks nu ind.

E-Boks trækker nu de 2046 lønsedler tilbage, som mandag havnede hos forkerte modtagere efter en it-fejl hos Nets. Det oplyser e-Boks i en pressemeddelelse.

I første omgang afviste e-Boks at fjerne lønsedlerne af principielle årsager. Men onsdag er de altså blevet tilbagekaldt alligevel - efter at CPR-numre, adresser, løn- og skatteforhold har ligget til skue hos forkerte modtagere.

Læs også: Softwarefejl hos Nets sender over 2.000 lønsedler i hænderne på de forkerte

»Der er tale om en helt ekstraordinær situation, hvor et antal dokumenter med persondata er leveret til forkerte personer,« siger Susanne Søndahl Wolff, kommunikationschef i e-Boks, i meddelelsen.

»Derfor har vi på baggrund af intern og ekstern juridisk rådgivning samt kontakt til Datatilsynet i den konkrete situation vurderet, at det var nødvendigt at træffe helt særlige foranstaltninger for at beskytte de berørte personer«, tilføjer hun.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (35)
Simon Mikkelsen

Så er glidebanen startet.

Det er meget nobelt at når andre folks personlige information havner i de forkerte hænder, kan man med et trylleslag fjerne det (med mindre folk har fået downloadet det først).

Os borgere, hvad enten vi vil det eller ej, kan både komme af med rigtig mange penge eller komme i fængsel hvis vi ikke får tjekket vores E-boks. Og nu kan myndighederne efter forgodtbefindende (der har ikke været en domstol over beslutningen) ændre i allerede sendte dokumenter.

Men hvad bliver den næste fejl der bliver rettet? Du har fået NNN kroner - ups. Du skal ikke ind til millitæret - ups. Du skal møde i retten d. NN/NN - ups. Det retter vi da lige.

Kenn Nielsen

Det er sørgeligt at v2 vælger at skrive "Helt ekstraordinært" i overskriften, når nyheden er at 'man' rent faktisk indrømmer at indholdet i e-boks ikke er sikret mod ændring af indhold, og viser dette i praksis.

Og dette burde være den egentlige nyhed.

K

Henrik Madsen

Så i fremtiden vil "Jeg har aldrig modtaget brevet i min e-boks og hvis jeg har så må e-boks have slettet det inden jeg nåede at læse det" være en gyldig undskyldning, nu hvor det er bevist at E-boks rent faktisk KAN slette i folks eboks.

Så nu ved vi altså at de både kan rette visse ting i brevene efter de er leveret og at de kan slette dem.

Bliver mere og mere glad for at breve til mig smides i min postkasse (Hvis ikke PostNord får dem gjort væk da :) )

Henrik Kramshøj Blogger

Papirpost er da postet i postkasser og hvis PostNord vil, når de til din brevkasse. ;-)

Ligner at resten af Danmark er enige om at vi har en postkasse ved vores hus, se også det fine udvalg på https://shopping.coop.dk/kategori/haveliv/postkasser
random link fra google "postkasse" About 1.150.000 results (0,86 seconds)

Brevkassen er der du sender spørgsmål ind til besvarelse :-D

Niels Danielsen

Jeg kan godt tænke mig at vide om systemet er beskyttet imod tilbage datering.
Man kunne bede e-Boks om at offentliggøre en offentlig ’ledger’, indeholdende dato, CPR nr, og PDF hash på hver brev. (Må ikke indeholde information om afsendere da det kan bruge til at profilere hvem der har et givet CPR nummer)
Men det kræver at der rent faktisk er nogle uafhængige der tager en kopi, og tjekker for ændringer med jævne mellemrum. (En block chain vil gøre dette arbejde nemmere.)
Det kræver også at den enkelte bruger af e-Boks tjekker den offentlige ’ledger’ op imod deres modtagende breve.
Denne ledger kan også indeholde listen over tilbagekaldte breve.

Henrik Madsen

Hvis flere borgeren modtager enslydende breve, så vil hashen være ens. Og så kan alle modtagere (eller andre med kopi af brevet) se, hvem der ellers har fået dette brev.

I toppen af sådan et brev vil der vel stadigvæk stå modtagerens navn og dermed bliver hver PDF unik.

Ved selvfølgelig ikke om det forholder sig sådan, får ikke noget i e-boks da jeg alligevel ikke har adgang til den.

Peter Rosendahl

..og det kommer til at ske igen.

Jeg føler mig mere tryg ved, at e-boks i ekstraordinære situationer kan fjerne data der er landet hos uvedkommende, end at de bliver liggende. Jeg synes at kunne læse ud af de tidligere indlæg, at jeg står lidt alene med det.

Til gengæld er det rimeligt at kræve transparens omkring
- enhver sag af denne art (årsag, omfang) på hjemmeside.
- varig information til både korrekt og uvedkommende modtager af 'brevet'.

Henrik Madsen

Jeg føler mig mere tryg ved, at e-boks i ekstraordinære situationer kan fjerne data der er landet hos uvedkommende, end at de bliver liggende. Jeg synes at kunne læse ud af de tidligere indlæg, at jeg står lidt alene med det.

Det interessante her er om du også ville finde det var ok at PostNord's medarbejdere havde et dirk-sæt med rundt på ruten så de kunne dirke din postkasse op hvis de mente de havde fejlleveret noget ?

E-boks er jo reelt set bare en digital version af din fysiske postkasse.

Lars Skovlund

Man bør også genoverveje den der holdning om, at breve anses for læst når de ligger i ens e-boks. At bare fordi det hele er digitalt så kan man tillade sig at have andre regler end man har haft i den analoge verden. Der blev i sin tid advaret om glidebaner, og efterfølgende har indholdet af de advarsler gradvist materialiseret sig ret præcist.

Morten Brørup

Så det er altså ikke mine breve, der ligger i min e-boks, men nogen andres breve! Det er blot breve adresseret til mig, og som jeg har adgang til at læse. Men nogen andre ejer tilsyneladende brevene i min e-Boks. "Vilkår for brugen af e-Boks" undgår meget behændigt at omtale ejendomsretten til brevene.

Selvom jeg godt kan se det smarte i at kunne rette op på fejludsendelser med følsomme informationer; så er der noget helt principielt galt ved e-Boks' handling. Det strider mod min opfattelse af brevhemmeligheden, og det strider mod min opfattelse af den private ejendomsret. Og det underminerer fuldstændig tilliden til e-Boks.

I deres vilkår bruger de bl.a. betegnelsen "breve", så jeg havde hidtil antaget, at almindelig lovgivning om post og breve var gældende; men det er åbenbart ikke tilfældet.

Gad vist, om nogen retsinstans har vurderet, om sletningen af disse breve overhovedet er lovlig?

mvh
-Morten Brørup

svend eriksen

Nu har du post.. nu har du ikke post

Jeg har selv oplevet at der blev ændret i tidsstemplet, i et helt år forsinket svar, fra daværende
sundhedsminister Astrid Krag, så der' var ingen kære mor, jeg havde jo fået svaret ni måneder før ifølge hendes skretær, hvilket er løgn, de ændrede bare tidsstemplet.

Så de virkelige terrorister, er dem med magten til at ændre vores virkelighed, både frem og tilbage i tiden. Hvis man ikke kan ændre folket, kan man ændre deres virkelighed og historie.Og de skraber mere og mere info om Danskerne, sammenkører den i store databaser og får svar på deres egne spørgsmål, så de kan redigere i fortiden og/eller fremtiden.

Danmark er blevet til et virkelighedens "sim city" spil, for magteliten og dens proselytter.

Herunder citat fra politiken_dk skrevet af Adam Hannested.

Krænker retssikkerheden

»Hvis man kan ændre i modtagernavnet, hvad kan man så også ændre i? Hvordan kan man for eksempel være sikker på, om der også kan være ændret ved tidsstemplet eller indholdet?«, siger Kim Normann Andersen, der er professor i statskundskab ved Aalborg Universitet og har lavet flere undersøgelser af danske myndigheders overgang til ny teknologi.

politiken_dk 20. jan. 2014 kl. 07.13

http://politiken.dk/forbrugogliv/digitalt/art5497589/Myndigheder-kan-%C3...

Og den 28. feb. 2014 kl. 15.49 igen i politiken_dk

http://politiken.dk/forbrugogliv/digitalt/internet/art5504417/Ombudsmand...

Bjarke Alling

Jeg begriber det ikke.

I Danmark har vi en national PKI infrastruktur med globalt trust. Mange her på V2 er ikke glade for den nuv. private NemID, men det er immervæk en fungerende infrastruktur som anvendes af 4 mill. danskere. Og nej. Lad os ikke drøfte nøgler lige nu. Denne her sag langt mere vigtigere end nøglegereringsprocessen.

Jeg har tidligere i denne Bluegarden/Nets/eBoks sag forslået at bruge krypteringen til at sikre indholdet kun læses af den rigtige modtager.

I denne - nye udvikling - er det særdeles relevant at inkludere en obligatorisk PKI signering af dokumenter og for min skyld også loghændelser. Der må ALDRIG være tvivl om tid og ægthed. Al den teknologi der skal bruges findes i det vi allerede har.

Kære Erst og Digst. Kom ind i kampen og stil krav til alle partner om at hæve barren for danskernes digitale tillid.

Kenn Nielsen
Kenn Nielsen

Kære Erst og Digst. Kom ind i kampen og stil krav til alle partner om at hæve barren for danskernes digitale tillid.

Nej !
Vi skal ikke binde mere op på NemID.

Hvorfor opbygge et monopol fra helvede ?

Insistér på at man selv skal kunne aflevere sin (afledte) public key i en eller flere virtuelle skuffer hos diverse styrelser.

Kald den gerne "NEMskuffenøgle", hvis dette åbner døren.

K

Bjarke Alling

Fint for mig. Om man anvender sin egen uploade offentlige nøgle eller hvilken som helst nøgle er ikke spørgsmål ift. eBoks.

En national PKI infrastruktur handler om CA og visitations- og udstedelsesprocesser. Det er ikke et emne i denne tråd.

Hvis nogen er nysgerrige efter hvad andre lande gør ift. PKI kan jeg anbefale at se lidt på Estland - https://e-estonia.com/

Kaare Rubak

Det er uhørt uanstændigt at andre redigerer/sletter i en personlig e-boks.

Den juridiske rådgivning de har fået bør lægges offentligt frem. Jeg er mægtig spændt på argumenterne! Uagtet evt. særlig lovgivning og e-boks manglende omtale af dataejerskab i deres betingelser, er det eneste anstændige, at så snart et brev er lagt i indbakken så er dataejerskab overgået til modtager.

Hvorfor i al verden har de ikke blot gjort som man altid har måtte gøre i den slags ekstremt uheldige situationer: Sendt endnu et brev som med en fornem juridisk formulering forklarer at man ikke må læse det fejlleverede brev, skal slette det straks, og bekræfte overfor afsender, at sletning er sket.

Denne sag bør DR som public service kanal tage op og sikre en ordentlig debat omkring.

Michael Cederberg

Heldigvis får jeg da min lønseddel som PDF fil m. password. Det er vel sikkert nok ?

Hvis det er gjort rigtigt så er det sikkert.

Dvs. hvis den der laver filen har valgt en god metode. Vigtigere: Det valgte password skal være laaaangt. Hvis det består af danske ord, så skal der være mindst 10 helt tilfældige ord i (ikke noget med sætninger). Hvis det består af tilfældige bogstaver og tal så skal der være mindst 30 tegn og de skal være helt tilfældige.

I praksis kan man sige at hvis du kan huske passwordet uden at skrive det ned så er det ikke sikkert mod folk der er villige til at yde en indsats.

Anders Cold

Der er ikke nogen "rigtig" måde at kodeordsbeskytte PDF'er på, der ikke involverer, at man pakker filen ind i noget andet, der ikke er en PDF.

PDF-formatet er så inhærent usikkert mht. kodeordsbeskyttelse, at det højest kan betragtes som et mindre bump på vejen, hvis man ønsker at brække en beskyttet PDF op og se indholdet – uanset passwordlængde.

Her er et par guides til, hvordan man fjerner kodeordsbeskyttelsen fra PDF'er. Bare så du er opmærksom på, hvor nemt, det er: http://www.wikihow.com/Unlock-a-Secure-PDF-File

Michael Cederberg

Der er ikke nogen "rigtig" måde at kodeordsbeskytte PDF'er på, der ikke involverer, at man pakker filen ind i noget andet, der ikke er en PDF.

PDF formatet tillader AES-128 og AES-256 beskyttelse med lange passwords. Hvis generatoren af PDF filen er sat rigtigt op, så kan man godt få noget der er sikkert - der er ikke noget umiddelbart galt med formatet.

Problemet er at de fleste programmer ikke tillader valg af algoritme (vælger default RC4), tillader ikke lange passwords (fx. max 32 tegn), tillader kun Latin-1 tegn, etc. Derfor er det meget svært at lave et krypteret PDF dokument som er sikkert - men det kan godt lade sig gøre. Det er dog ganske klart at ultimate sikkerhed ikke var ønskværdigt for Adobe da de lavede PDF i de mange forskellige versioner - derfor har de lavet en masse restriktioner i formatet og implementeringen.

De metoder som du nævner vil komme til kort hvis krypteringen er gjort rigtigt. Det er den bare næsten aldrig - enten fordi folk ikke ved hvad de gør eller fordi passwords gerne skal kunne huskes af brugeren.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017