NemID-login gav adgang til fremmedes forsikringsdata: »Et klart brud på GDPR«

NemID-login gav adgang til fremmedes forsikringsdata: »Et klart brud på GDPR«
Illustration: Mads Allingstrup, Nets.
En fejl i forsikringsgiganten Trygs systemer medførte onsdag aften et alvorligt brud på GDPR-loven. Efter login med NemID og CPR-nummer blev vi logget ind på en andens profil og fik adgang til personens oplysninger.
10. marts kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da Version2 for nylig forsøgte at logge ind hos forsikringsselskabet Tryg for at ændre en police, fik vi os noget af en overraskelse.

På skærmen stod nemlig et ”Godaften” og så navnet på en for redaktionen ukendt person. Dette på trods af, at vi havde logget ind med både eget CPR-nummer og NemID.

Pludselig havde vi adgang til bl.a. personens fulde navn, telefonnummer, adresse og forsikringsoplysninger. Vi tog hurtigt kontakt til personen, som rigtigt nok kunne bekræfte, at han var kunde hos Tryg, og at han ikke kunne logge på sin profil.

Peter Glüsing, Head of Media Relations hos Nets Group, som driver NemID, forklarer, at fejlen ikke teknisk har noget med NemID at gøre.

»Den her fejl, hvor man får adgang til en anden kundes data, det er vist sket inde i Trygs del af det her flow. Det kan vi se, efter at have undersøgt tingene i vores system,« fortæller Peter Glüsing.

Alvorlig sag

Hos Tryg bekræfter man i en skriftlig kommentar, at fejlen ligger her. Forsikringsselskabet vil dog ikke oplyse, hvad den præcis består i.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
10. marts kl. 17:14

Måske man skulle kigge nærmere på processerne for code-development, altså har der været et egentligt code-review? Er featuren understøttet af tests? Har der været fornuftigt QA på opgaven? Har der været tilstrækkeligt testdata til at foretage en egentlig test? Selve code-deployment bør ikke kunne forårsage sådanne typer fejl.

4
10. marts kl. 15:18

Ikke en fejl i NemID, men en fejl i forsikringsselskabet Trygs systemer.

3
10. marts kl. 13:41

Når vi oplever en hændelse som denne, giver det selvfølgelig anledning til, at vi kigger på vores processer omkring code deployment, og vi har i den forbindelse kørt en lang række kontroller for at optimere sikkerheden omkring processerne,

Sådan lyder det igen og igen, når skaden er sket. Var der ikke nogle flere virksomheder, der kunne kaste flere ressourcer ind i at forebygge frem for efterfølgende at undersøge, hvorfor det går galt?

2
10. marts kl. 12:30

Har jo ikke noget med NemId at gøre? Som jeg læser det er det i Trygs system fejlen var.

1
10. marts kl. 11:54

Og så lige ventet et par dage - til de 72 timers frist var grundigt overskrevet.. så ville det have været interessant at se om Tryg så havde fået rapportet denne sag til datatilsynet :)

Når man siger man er journalist - så har det, det med at få lidt mere opmærksomhed, desværre - end når almindelige private støder på problemet..