Post Danmark vil ikke underrette hacking-truede pakkekunder

Interview: It-chefen i Post Danmark Logistik afviser at give besked til brugerne af den hullede WebPack-løsning om, at deres personlige oplysninger kan være kompromitteret.

Mindst 6,3 millioner pakker er gennem tiden blevet ekspederet i Post Danmarks online-pakkeløsning WebPack.

Nu viser det sig, at løsningen i årevis har været hullet som en si, og at alle og enhver har kunnet hente oplysninger om alle pakkers afsender, modtager, indhold, værdi og meget mere.

Læs også: Posten har kendt sikkerhedshul i 3 år: Fri adgang til data om 6,3 millioner pakker

It-chefen i Post Danmark Logistik, Kjeld Pharao, beklager, at løsningen har været usikker, og at man har været mindst tre år om at få lukket hullet:

»Den her sag har været håndteret skidt, men vi har ligget vandret i forbindelse med en fusion med det svenske postvæsen, og ulykkeligvis er denne sag blevet tabt mellem to stole,« siger Kjeld Pharao.

Hvor længe har I kendt til hullets eksistens?

»Vi har vidst det for længe. Vi bestræber os på at håndtere vores kunder på et professionelt niveau. Vi har set, at det er muligt at fiske oplysninger ud, og det har vi taget til efterretning«

Hvornår fik I information om hullet?

»Jeg kan ikke præcist sige hvornår. Men det er selvklart, at vi ikke kan stille servicen til rådighed, som den har set ud.«

Kan du garantere, at oplysningerne ikke er blevet misbrugt?

»Vi har ikke kunnet konstatere, at nogen har været inde og misbruge data. Og som sagt har vi nu lukket hullet. Vi lancerer en ny version af Webpack om en til to måneder, og den pudser vi eksterne sikkerhedseksperter på, så det ikke gentager sig.«

Vil den nye version af WebPack kunne bruges i andre browsere end Internet Explorer?

»Ja, den vil også kunne køre i andre browsere, og den vil være bagudkompatibel med den eksisterende WebPack-løsning.«

*Var hullet svært at lukke? *

»Det kan jeg ikke svare på.«

Hvilke planer har I om at informere brugerne af Webpackløsningen ? det vil sige både afsendere og modtagere af pakker ? om, at deres data kan være blevet kompromitteret?

»Vi bestræber os på at håndtere kunder på et professionelt niveau. Men vi bidrager ikke til at gøre Webpack-brugernes kunder mere utrygge end nødvendigt. Det er en afvejning af, hvor meget vi skal fylde kundernes indbokse, og vi vil ikke opskræmme kunderne mere end nødvendigt. Så vi har ingen aktuelle planer om at informere yderligere.«

Det mener Datatilsynet ellers man bør gøre:

»Hvis en virksomhed som følge af en sikkerhedsbrist har gjort kundeoplysninger tilgængelige for uvedkommende, vil det ? afhængigt af de konkrete omstændigheder ? følge af persondatalovens grundregel i § 5, stk. 1, om god databehandlingsskik, at den ansvarlige virksomhed skal underrette de berørte personer samt undersøge, om oplysningerne findes i kopier dannet af søgemaskiner som Google, Bing og lignende, og i givet fald sørge for, at oplysningerne fjernes derfra,« skriver Datatilsynet på sin hjemmeside.

Hvad siger du til det?

»Det er noteret.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize