Kalundborg Kommune: Tusindvis af fortrolige filer lagt op usikret på server

Illustration: dk_photo/Bigstock
OPDATERET 12:24. Tusindvis af borgeres og ansattes cpr-numre, lønoplysninger og administratorkoder til it-systemer lå usikrede på ftp-server.

Kalundborg Kommune har ved en fejl lagt 50.000 filer med blandt cpr-numre, administratorkoder og lønoplysninger op usikret på en ftp-server.

Det skriver Børsen.

Serveren er blandt andet blevet brugt af kommunens jurister til at kommunikere med borgere, der har søgt aktindsigt, og virksomheder, der har skullet aflevere store mængder data til kommunen.

Kommunaldirektør Jan Lysgaard Thomsen understreger, at ftp-serveren har været sikret.

»De automatiserede forsøg på adgang som alle kommuner og virksomheder dagligt oplever mod deres it-systemer er også mod denne server blevet stoppet,« siger han ifølge en meddelelse.

»Databristen består i, at en database ved en menneskelig fejl bliver placeret ikke-krypteret på ftp-serveren. Altså en sikret server, men med ikke-krypterede data. Der er en væsentlig forskel, fordi vi taler om en menneskelig fejl - ikke om en system-fejl eller mangel på procedurer,« tilføjer han.

Ukendt hvor mange der har haft adgang

Borgere og virksomheder har længe fået tildelt samme brugernavn og adgangskode til serveren, men kommunen kan endnu ikke sige, hvor mange der har haft adgang til den.

I alt blev omkring 10.000 mapper med 50.000 filer lagt op på serveren. Ud over flere tusindes ansatte og borgeres personnumre så rummer filer på serveren også oversigter over kommunens it-infrastruktur med servernavne, ip-adresser, dokumenter og administratorkoder.

»Vi er dybt kede af det her og skal selvfølgelig beklage mange gange. Straks vi blev opmærksomme på problemet, har vi trukket stikket på den berørte server,« siger kommunaldirektør i Kalundborg Kommune Jan Lysgaard Thomsen til Børsen.

Kommunen har spærret adgangen til serveren, efter at Børsen i tirsdags gjorde dem opmærksomme på sikkerhedsbristen. De arbejder nu på at få et overblik over, hvor mange der har haft adgang til serveren.

En ansat, der tog backup af it-afdelingens kommunikation med blandt andet ansatte og eksterne samarbejdspartnere de seneste tre år, er efter sigende skyld i lækagen.

Børsen opdagede lækagen, fordi avisen fik et password til ftp-serveren, hvor en række offentlige filer blev placeret til brug for aktindsigt.

»I de 14 dage, hvor Børsen havde adgang til serveren, var der pga. en menneskelig fejl også en mulighed for adgang til bl.a. personfølsomme datafiler. Vi kan se i vores it-systemers logfiler, at det i den pågældende periode alene var Børsen, som åbnede og downloadede filer med personfølsomt indhold,« siger Jan Lysgaard Thomsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
Axel Nielsen

Øhhh, NEJ!

Ansvarlige er DEM der gennem mange år har set gennem fingre med en elendig IT-sikkerhedskultur - Ikke kun i Kalundborg, men generelt indenfor det offentlige.

Der er jo ikke ligefrem mangel på eksempler - At ingen har taget tidligere hændelser i andre kommuner seriøst og derefter justeret IT-politikkerne derefter, viser jo desværre at det tilsyneladende ikke kun er IT-kundskaber der mangler...

Henrik Engel

Meget skræmmende - Kalundborg kommunes GDPR forberedende arbejde foregår i regi af 18 kommuners fælles arbejde i digitaliseringsforeningen DIGIT. Der er man stort set ikke gået igang og man er ikke i stand til over for borgerne at fortælle hvad status på arbejdet er og der er formentligt slet ikke styr på dette arbejde i nogen af de 18 kommuner der tror dette arbejde sker i Digit.
Man må virkelig håbe for os borgere i disse kommuner at de sker mere bag kulisserne end de vil informere om da dette er virkeligt skræmmende. Og det er kun GDPR forberedelsens side af sagen. Hvordan er den generelle IT sikkerhed så.

Axel Nielsen

Saa er det rettet , det er ikke kun et offenteligt problem

Jeg vil til dels give dig ret, men vælger at forholde mig alene til det offentlige pga. af følgende:

  • Vi har reelt set ingen sanktionsmuligheder (Måske fremprovokere en alvorlig bekymring fra Datatilsynet, høhø...)
  • Der er potentielt set tale om en meget stor mængde meget nøjagtige og meget personlige data
  • Vi kan ikke fravælge det offentlige
Benny Pedersen

ftp://ftp:ftp@localhost/pub/mine/filer

er også dumt, men linked er valid login på alle ftp servers, men at ~ftp indeholder private filer er no go

det må være svært at huske logins siden man bruger alle andres logins

tænker jeg vil have alle mine dokumenter på en microsd, og have noget software der uploader det krypteret på samtlige ftp servers around the world, bare så de har noget at lege med :)

Claus Juul

Vi kan ikke fravælge det offentlige

Et strøtanke:
Jeg er ikke sikker på at det er korrekt, med mindre du har et ønske om at blive boende i DK.

Hvad nu hvis man flytter til et andet land, frasiger sig dansk statsborgerskab, tager alle sine penge/værdier med sig osv. gælder EU regler om retten til at blive glemt så ikke også den danske stat?

Der vil helt sikkert de første 5 år være behov for at gemme data om dig, men efterfølgende så begynder de behov at forsvinde.

Hvis man har en plettet straffeattest kan man måske ikke blive helt glemt.

Axel Nielsen
Jens Beltofte Sørensen

Kommunaldirektøren udtaler at FTP-serveren har været sikret.

Spørgsmålet er om han blot taler om anonym adgang ikke er tilladt, eller om de reelt har benyttet SFTP eller FTP/S.

Hvis de blot har benyttet almindelig ikke-krypteret FTP, der blot er begrænset med brugernavn og password (fælles eller individuelt), er det stadig en ommer. Også selvom vi ser bort fra at de det ikke var planen at den backup skulle havne på serveren.

Cristian Ambæk

En ansat, der tog backup af it-afdelingens kommunikation med blandt andet ansatte og eksterne samarbejdspartnere de seneste tre år, er efter sigende skyld i lækagen

SÅ DRENGE, så gælder det satme om at udpege dørmåtten for denne fuck up.
Det er i hvert fald ikke den daglige IT leder der har ansvaret, nej nej nej... NEJ!

Databristen består i, at en database ved en menneskelig fejl bliver placeret ikke-krypteret på ftp-serveren. Altså en sikret server, men med ikke-krypterede data

Øøøø hvad, hvis din server er sikret så er det sku da underordnet at din database på den SIKREDE server ikke er krypteret.
.....

Borgere og virksomheder har længe fået tildelt samme brugernavn og adgangskode til serveren

Den sikrede server, flot folkens, flot :slow applause:

I de 14 dage, hvor Børsen havde adgang til serveren, var der pga. en menneskelig fejl også en mulighed for adgang til bl.a. personfølsomme datafiler

Sikke hvor de dog kan. Dette er ikke en menneskelig fejl, men at i som organisation ikke ved hvad i har og hvor, samt det rager jer en hø-blomst.

Vi må snart have lov til at uploade gifs, så vi som community kan uploade https://www.youtube.com/watch?v=qnYdteja7Y0
og
https://www.youtube.com/watch?v=TAryFIuRxmQ
med et fedt V2 banner over ansigtet / ansigter.

Mogens Lysemose

Hvis nogen er stadig er interesseret er der opdateringer her:
Kommunen har kun en log for de sidste 14 dage...
http://borsen.dk/nyheder/avisen/artikel/11/187155/artikel.html

"7 firmaers tilbudspriser på snerydning i Kalundborg har i seks måneder være tilgængelige for et ukendt antal borgere og firmaer på ukrypteret server "
http://borsen.dk/nyheder/avisen/artikel/11/187156/artikel.html

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017