Kritik af danske Dantherm: Medarbejder-data endte på det mørke net

Hackere har hentet medarbejderes følsomme personoplysninger hos virksomheden Dantherm. Illustration: Rasmus Meisler
Flere tusinde medarbejderes følsomme personoplysninger endte på det mørke net, efter hackere sidste år brød ind i Dantherms systemer. Nu giver Datatilsynet kritik.

Sidste år var virksomheden Dantherm udsat for et ransomwareangreb, der ledte til, at medarbejderes følsomme personoplysninger endte i en afkrog på det mørke net.

Det skriver Datatilsynet i sagens afgørelse, hvor man udtaler kritik af virksomheden for ikke at have ordentlig styr på it-sikkerheden.

Hackerne har hentet oplysninger på medarbejdere fra flere lande. Konkret er der tale om:

  • Kontooplysninger på mellem 100 og 450 ansatte i Tyskland, Polen og England,
  • Omkring 50 tyske medarbejderes religiøse forhold,
  • Helbredsoplysninger – blandt andet referat af 87 sundhedssamtaler med danske borgere og sundhedsdata på polske og engelske borgere, der har betydning for ansættelsesforholdet,
  • Og omkring 1525 danskeres cpr-nummer.

Ifølge DAHL advokatpartnerskab, der har udtalt sig på vegne af Dantherm i sagen, er oplysningerne fjernet fra det mørke net igen.

Ondsindet aktivitet

Angrebet fandt sted den 26. august sidste år. Om aftenen registrerede Dantherm, mærkelig aktivitet på en backupserver. Man undersøger sagen nærmere og finder, at der har været ondsindet aktivitet på netværket fem dage forinden.

Sikkerhedsvirksomheden Dubex lavede de tekniske undersøgelser og kom frem til, at hackerne havde undersøgt netværksstrukturen og ødelagt en kørende backup. Men der var ingen tegn på, at de kriminelle har hentet personoplysninger, og derfor anmeldte Dantherm først bruddet til Datatilsynet den 25. september 2020.

Dubex fortsatte med at undersøge hackernes aktivitet på netværket, og den 22. september opdagede man, at de kriminelle havde hentet persondata fra virksomheden og lagt den ud på det mørke net. Data blev fjernet igen dagen efter klokken 14.45.

Ifølge DAHL kan man ikke vide, om andre har fået fat på data, imens den lå online. Men advokaterne understreger, at Dantherm på intet tidspunkt var afskåret fra data, og at hackerne ikke har fremsat krav for at undlade at offentliggøre oplysningerne.

Læs også: Region Syddanmark anmelder ni brud på persondatasikkerheden

Fik adgang via konsulent-konto

I en rapport skriver Dubex, at hackerne kom ind på serveren via en bruger kaldet ‘AV’, der havde administrative rettigheder. Den har tidligere været brugt af en ekstern konsulent i foråret 2020.

»Dubex har oplyst, at ‘AV’ ikke længere var hos det eksterne konsulentfirma, og der var derfor ikke nogen grund til at denne konto skulle logge ind på nogle af Dantherms systemer. Kontoen var medlem af domæneadministrator-gruppen og havde derfor fuld adgang til alle maskiner i AD’et. Angriberne har ifølge Dubex måske opnået adgang til kontoen ved gæt af password,« skriver Datatilsynet i afgørelsen.

Dog understreger DAHL overfor tilsynet, at det kun er et gæt fra Dubex. Hackerne kan lige så godt have brudt ind i systemet først via en anden konto og så efterfølgende brugt AV-kontoen.

Da hackerne kom ind i systemet, slettede de de fleste logfiler, og derfor er det uvist, hvorfor man stadig kunne bruge kontoen til at logge ind hos Dantherm.

»Det eneste, der kan konstateres, er, at brugerkontoen ‘AV’ ikke var slettet. Hvorvidt kontoen var aktiv eller deaktiveret, kan ikke konstateres af Dantherm,« skriver Datatilsynet i afgørelsen.

Læs også: Kommune sjuskede med handicappedes data: Får GDPR-smæk på 75.000 kroner

For mange administrative rettigheder

Ifølge GDPR, skal dataansvarlige sørge for, at der er en solid sikkerhed omkring de personoplysninger, man opbevarer, og det har Dantherm ikke levet op til i forbindelse med hackerangrebet.

Derfor giver Datatilsynet kritik og påpeger, at man burde have begrænset antallet af brugere med administrative rettigheder:

»Det vil derfor normalt være et udtryk for passende sikkerhed, at administratorrettigheden alene gives til de relevante begrænsede ressourcer og i et begrænset tidsrum. Dette kunne udføres ved, at der ikke bruges brede administrative privilegier og adgange, samt at disse ikke gives permanent, men alene ved at elevere rettighederne ad hoc,« skriver man.

Tilsynet uddyber, at man skal sørge for at logge så meget som muligt, og at det ikke er hensigtsmæssigt, når administratorer kan slette eller ændre i logfilerne.

Dantherm underrettede medarbejderne den 29. og 30. september sidste år om, at deres data var lækket.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere