Kalundborg Kommune: Tusindvis af fortrolige filer lagt op usikret på server

18 kommentarer.  Hop til debatten
Kalundborg Kommune: Tusindvis af fortrolige filer lagt op usikret på server
Illustration: dk_photo/Bigstock.
OPDATERET 12:24. Tusindvis af borgeres og ansattes cpr-numre, lønoplysninger og administratorkoder til it-systemer lå usikrede på ftp-server.
person
Kristoffer Jørgensen
Journalistpraktikant
14. december 2017 kl. 10:41
errorÆldre end 30 dage
person
Kristoffer Jørgensen
Journalistpraktikant
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Kalundborg Kommune har ved en fejl lagt 50.000 filer med blandt cpr-numre, administratorkoder og lønoplysninger op usikret på en ftp-server.

Det skriver Børsen.

Serveren er blandt andet blevet brugt af kommunens jurister til at kommunikere med borgere, der har søgt aktindsigt, og virksomheder, der har skullet aflevere store mængder data til kommunen.

Kommunaldirektør Jan Lysgaard Thomsen understreger, at ftp-serveren har været sikret.

Artiklen fortsætter efter annoncen

»De automatiserede forsøg på adgang som alle kommuner og virksomheder dagligt oplever mod deres it-systemer er også mod denne server blevet stoppet,« siger han ifølge en meddelelse.

»Databristen består i, at en database ved en menneskelig fejl bliver placeret ikke-krypteret på ftp-serveren. Altså en sikret server, men med ikke-krypterede data. Der er en væsentlig forskel, fordi vi taler om en menneskelig fejl - ikke om en system-fejl eller mangel på procedurer,« tilføjer han.

Ukendt hvor mange der har haft adgang

Borgere og virksomheder har længe fået tildelt samme brugernavn og adgangskode til serveren, men kommunen kan endnu ikke sige, hvor mange der har haft adgang til den.

I alt blev omkring 10.000 mapper med 50.000 filer lagt op på serveren. Ud over flere tusindes ansatte og borgeres personnumre så rummer filer på serveren også oversigter over kommunens it-infrastruktur med servernavne, ip-adresser, dokumenter og administratorkoder.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Vi er dybt kede af det her og skal selvfølgelig beklage mange gange. Straks vi blev opmærksomme på problemet, har vi trukket stikket på den berørte server,« siger kommunaldirektør i Kalundborg Kommune Jan Lysgaard Thomsen til Børsen.

Kommunen har spærret adgangen til serveren, efter at Børsen i tirsdags gjorde dem opmærksomme på sikkerhedsbristen. De arbejder nu på at få et overblik over, hvor mange der har haft adgang til serveren.

En ansat, der tog backup af it-afdelingens kommunikation med blandt andet ansatte og eksterne samarbejdspartnere de seneste tre år, er efter sigende skyld i lækagen.

Børsen opdagede lækagen, fordi avisen fik et password til ftp-serveren, hvor en række offentlige filer blev placeret til brug for aktindsigt.

»I de 14 dage, hvor Børsen havde adgang til serveren, var der pga. en menneskelig fejl også en mulighed for adgang til bl.a. personfølsomme datafiler. Vi kan se i vores it-systemers logfiler, at det i den pågældende periode alene var Børsen, som åbnede og downloadede filer med personfølsomt indhold,« siger Jan Lysgaard Thomsen.

18 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
17
Cristian Ambæk
15. december 2017 kl. 09:11

Dude, den var beskyttet med fælles login, hvor meget mere sikkerhed vil du have? ...... Gosh..... Sign.... Flips table.....

  • more_vert
    • insert_linkKopier link
16
Cristian Ambæk
15. december 2017 kl. 09:08

En ansat, der tog backup af it-afdelingens kommunikation med blandt andet ansatte og eksterne samarbejdspartnere de seneste tre år, er efter sigende skyld i lækagen

SÅ DRENGE, så gælder det satme om at udpege dørmåtten for denne fuck up. Det er i hvert fald ikke den daglige IT leder der har ansvaret, nej nej nej... NEJ!

Databristen består i, at en database ved en menneskelig fejl bliver placeret ikke-krypteret på ftp-serveren. Altså en sikret server, men med ikke-krypterede data

Øøøø hvad, hvis din server er sikret så er det sku da underordnet at din database på den SIKREDE server ikke er krypteret. .....

Borgere og virksomheder har længe fået tildelt samme brugernavn og adgangskode til serveren

Den sikrede server, flot folkens, flot :slow applause:

I de 14 dage, hvor Børsen havde adgang til serveren, var der pga. en menneskelig fejl også en mulighed for adgang til bl.a. personfølsomme datafiler

Sikke hvor de dog kan. Dette er ikke en menneskelig fejl, men at i som organisation ikke ved hvad i har og hvor, samt det rager jer en hø-blomst.

Vi må snart have lov til at uploade gifs, så vi som community kan uploade https://www.youtube.com/watch?v=qnYdteja7Y0oghttps://www.youtube.com/watch?v=TAryFIuRxmQmed et fedt V2 banner over ansigtet / ansigter.

  • more_vert
    • insert_linkKopier link
15
Knud Larsen
14. december 2017 kl. 20:02

Du glemmer vist, at Skat fastholder retten til at beskatte dig mindst 4 år efter.

  • more_vert
    • insert_linkKopier link
14
Jens Beltofte
14. december 2017 kl. 17:06

Kommunaldirektøren udtaler at FTP-serveren har været sikret.

Spørgsmålet er om han blot taler om anonym adgang ikke er tilladt, eller om de reelt har benyttet SFTP eller FTP/S.

Hvis de blot har benyttet almindelig ikke-krypteret FTP, der blot er begrænset med brugernavn og password (fælles eller individuelt), er det stadig en ommer. Også selvom vi ser bort fra at de det ikke var planen at den backup skulle havne på serveren.

  • more_vert
    • insert_linkKopier link
13
Mogens Lysemose
14. december 2017 kl. 14:49

Der står at ALLE med brugernavnet/kodeordet har kunnet/kan se hinandens fortrolige up-/down-loads ?

Ja, sådan som jeg læste forklaringen i en anden artikel havde alle fået samme brugernavn og password til serveren. (Med forbehold for journalistiske misforståelse).

  • more_vert
    • insert_linkKopier link
11
Claus Bobjerg Juul
14. december 2017 kl. 12:40

Vi kan ikke fravælge det offentlige

Et strøtanke: Jeg er ikke sikker på at det er korrekt, med mindre du har et ønske om at blive boende i DK.

Hvad nu hvis man flytter til et andet land, frasiger sig dansk statsborgerskab, tager alle sine penge/værdier med sig osv. gælder EU regler om retten til at blive glemt så ikke også den danske stat?

Der vil helt sikkert de første 5 år være behov for at gemme data om dig, men efterfølgende så begynder de behov at forsvinde.

Hvis man har en plettet straffeattest kan man måske ikke blive helt glemt.

  • more_vert
    • insert_linkKopier link
10
Benny Pedersen
14. december 2017 kl. 12:22

ftp://ftp:ftp@localhost/pub/mine/filerftp:ftp

er også dumt, men linked er valid login på alle ftp servers, men at ~ftp indeholder private filer er no go

det må være svært at huske logins siden man bruger alle andres logins

tænker jeg vil have alle mine dokumenter på en microsd, og have noget software der uploader det krypteret på samtlige ftp servers around the world, bare så de har noget at lege med :)

  • more_vert
    • insert_linkKopier link
8
Bjarne Nielsen
14. december 2017 kl. 12:22

Ja, Jesper, mine tanker gik også i retning af de store data-siloer, som man er ved at opbygge. Jo større samling af data, jo større er de potentielle ulykker også.

Derfor er dataminimering en dyd. Man kan ikke komme til at afsløre noget, som man ikke ved!

  • more_vert
    • insert_linkKopier link
7
Jesper Frimann
14. december 2017 kl. 11:43

den server som Pape mener at alle offentlige myndigheder skal kunne tilgå, og så har man bare glemt at lukke borgerne ude ?

// Jesper

  • more_vert
    • insert_linkKopier link
6
Thomas Larsen
14. december 2017 kl. 11:36

Hmmm, som jeg læser artiklen er problemet ikke kun at en ansat har benyttet det forkerte FTP-drev til backup. Der står at ALLE med brugernavnet/kodeordet har kunnet/kan se hinandens fortrolige up-/down-loads ?

  • more_vert
    • insert_linkKopier link
5
Axel Nielsen
14. december 2017 kl. 11:33

Saa er det rettet , det er ikke kun et offenteligt problem

Jeg vil til dels give dig ret, men vælger at forholde mig alene til det offentlige pga. af følgende:

  • Vi har reelt set ingen sanktionsmuligheder (Måske fremprovokere en alvorlig bekymring fra Datatilsynet, høhø...)
  • Der er potentielt set tale om en meget stor mængde meget nøjagtige og meget personlige data
  • Vi kan ikke fravælge det offentlige
  • more_vert
    • insert_linkKopier link
4
Flemming Riis
14. december 2017 kl. 11:19

men generelt

Saa er det rettet , det er ikke kun et offenteligt problem

  • more_vert
    • insert_linkKopier link
3
Henrik Engel
14. december 2017 kl. 11:02

Meget skræmmende - Kalundborg kommunes GDPR forberedende arbejde foregår i regi af 18 kommuners fælles arbejde i digitaliseringsforeningen DIGIT. Der er man stort set ikke gået igang og man er ikke i stand til over for borgerne at fortælle hvad status på arbejdet er og der er formentligt slet ikke styr på dette arbejde i nogen af de 18 kommuner der tror dette arbejde sker i Digit. Man må virkelig håbe for os borgere i disse kommuner at de sker mere bag kulisserne end de vil informere om da dette er virkeligt skræmmende. Og det er kun GDPR forberedelsens side af sagen. Hvordan er den generelle IT sikkerhed så.

  • more_vert
    • insert_linkKopier link
2
Gert G. Larsen
14. december 2017 kl. 10:55

Nårh, de er både DYBT kede af det, og de undskylder MANGE gange. Ja så har de jo gjort hvad de kunne, og så er det vel bare det. ....eller noget

  • more_vert
    • insert_linkKopier link
1
Axel Nielsen
14. december 2017 kl. 10:48

Øhhh, NEJ!

Ansvarlige er DEM der gennem mange år har set gennem fingre med en elendig IT-sikkerhedskultur - Ikke kun i Kalundborg, men generelt indenfor det offentlige.

Der er jo ikke ligefrem mangel på eksempler - At ingen har taget tidligere hændelser i andre kommuner seriøst og derefter justeret IT-politikkerne derefter, viser jo desværre at det tilsyneladende ikke kun er IT-kundskaber der mangler...

  • more_vert
    • insert_linkKopier link