Præmie for at vinde i Seas-NVE’s julekalender var ... læk af personoplysninger

Vinderne af Seas-NVE’s julekalender fik offentliggjort navn, telefonnummer, mail-adresse og adresse i sidekoden på julekalenderen. Man kunne umiddelbart læse oplysningerne efter at afkode HTML-koden til JSON.

Da Version2 blev gjort opmærksomme på problemet af en læser, var kun seks vindere fundet, og som en af dem sagde, »var det jo ikke informationer, som ikke kunne findes andetsteds«. Selvom der er tale om et ganske mildt datalæk, er det interessant, at man ikke har undladt at adskille information, som ikke burde være tilgængelig via client-siden.

»Ved en beklagelig fejl har man i kildekoden kunnet se adresse, mail og telefonnumre på de første seks vindere af vores julekonkurrence. Det beklager vi naturligvis, og vi bad med det samme vores leverandør om få rettet fejlen. Ved 16-tiden fredag eftermiddag var de pågældende data fjernet fra kildekoden,« skriver Morten Kidal, teamleder ved Seas-NVE, til Version2
>

Resterende kundeoplysninger er sikre

Seas-NVE er et over 100 år gammelt, sjællandsk energiselskab med 560.000 energikunder og 118.000 fiberkunder. Derfor sidder de også inde med en hel del oplysninger om deres kunder. Selskabet påpeger, at deres resterende kundeoplysninger er langt bedre beskyttet.

»Hjemmesiden med konkurrencen har ikke kontakt med vores øvrige kundesystemer, og ingen data er kompromitteret ud over de seks konkurrencevinderes. Vi har undskyldt over for dem, vi kunne få fat på fredag, og prøver nu at få fat på de sidste. Fejlen bliver naturligvis indberettet til Datatilsynet,« skriver Morten Kidal.

Seas-NVE har efter Version2’s henvendelse været inde og ændre Julequizzens kildekode. Man kan ikke længere finde fuld kontaktinfo på vinderne, og de figurerer nu kun med fornavn og første bogstav af efternavnet.

En del anden information er dog stadig tilgængelig i sidens kildekode. Eksempelvis kan man vinde en Stelton-elkedel til 730 kroner, hvis man svarer »Naturgas« på spørgsmålet for den 11. december.