NemID-login gav adgang til fremmedes forsikringsdata: »Et klart brud på GDPR«

10. marts kl. 03:455
NemID-login gav adgang til fremmedes forsikringsdata: »Et klart brud på GDPR«
Illustration: Mads Allingstrup, Nets.
En fejl i forsikringsgiganten Trygs systemer medførte onsdag aften et alvorligt brud på GDPR-loven. Efter login med NemID og CPR-nummer blev vi logget ind på en andens profil og fik adgang til personens oplysninger.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da Version2 for nylig forsøgte at logge ind hos forsikringsselskabet Tryg for at ændre en police, fik vi os noget af en overraskelse.

På skærmen stod nemlig et ”Godaften” og så navnet på en for redaktionen ukendt person. Dette på trods af, at vi havde logget ind med både eget CPR-nummer og NemID.

Pludselig havde vi adgang til bl.a. personens fulde navn, telefonnummer, adresse og forsikringsoplysninger. Vi tog hurtigt kontakt til personen, som rigtigt nok kunne bekræfte, at han var kunde hos Tryg, og at han ikke kunne logge på sin profil.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
5 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
10. marts kl. 17:14

Måske man skulle kigge nærmere på processerne for code-development, altså har der været et egentligt code-review? Er featuren understøttet af tests? Har der været fornuftigt QA på opgaven? Har der været tilstrækkeligt testdata til at foretage en egentlig test? Selve code-deployment bør ikke kunne forårsage sådanne typer fejl.

4
10. marts kl. 15:18

Ikke en fejl i NemID, men en fejl i forsikringsselskabet Trygs systemer.

3
10. marts kl. 13:41

Når vi oplever en hændelse som denne, giver det selvfølgelig anledning til, at vi kigger på vores processer omkring code deployment, og vi har i den forbindelse kørt en lang række kontroller for at optimere sikkerheden omkring processerne,

Sådan lyder det igen og igen, når skaden er sket. Var der ikke nogle flere virksomheder, der kunne kaste flere ressourcer ind i at forebygge frem for efterfølgende at undersøge, hvorfor det går galt?

2
10. marts kl. 12:30

Har jo ikke noget med NemId at gøre? Som jeg læser det er det i Trygs system fejlen var.

1
10. marts kl. 11:54

Og så lige ventet et par dage - til de 72 timers frist var grundigt overskrevet.. så ville det have været interessant at se om Tryg så havde fået rapportet denne sag til datatilsynet :)

Når man siger man er journalist - så har det, det med at få lidt mere opmærksomhed, desværre - end når almindelige private støder på problemet..