Sikkerhedshul i KMD-system gav adgang til borgeres lønsedler

KMD-systemet Digital Pladsanvisning, som for nylig var genstand for en kontroversiel sag om et sikkerhedshul, indeholdt en anden fejl, der gav adgang til personlige oplysninger.

Der var mere end ét sikkerhedshul i KMD-systemet Digital Pladsanvisning. KMD har nemlig også måtte lukke et sikkerhedshul, som gav adgang til blandt andet at se andre borgeres lønsedler, når man loggede på systemet. Det skriver Finans.

Fejlen blev opdaget af en borger på Frederiksberg i april, da han loggede på pladsanvisningssystemet. Systemet bruges i 80 danske kommuner.

Her kunne han se lønsedler, e-mailkorrespondance og andre oplysninger fra andre borgere, som havde ansøgt om pladser i kommunens daginstitutioner.

Læs også: Konkurrent-ansat politianmeldt efter at have påpeget sikkerhedshul i KMD-system

For at kontrollere problemet, loggede borgeren også på Digital Pladsanvisning i Aarhus Kommune og fik også her adgang til andre borgeres oplysninger. Han skrev derefter en mail til Borger.dk og Digitaliseringsstyrelsen.

KMD reagerede derefter på henvendelsen fra Digitaliseringsstyrelsen ved at lukke ned for systemet i en time, mens hullet blev lokaliseret og rettet.

KMD oplyser ifølge Finans, at det var en ny funktion i systemet, som førte til, at nye brugere, der loggede ind, kunne se oplysninger fra andre borgeres sager, hvor disse borgere havde benyttet funktionen til at indsigelse og uploade dokumenter. Det var på denne måde, at nye brugere kunne se eksempelvis lønsedler.

Sagen blev håndteret anderledes af KMD end en fejl i samme system, som kort efter blev opdaget - også af en borger på Frederiksberg. Her valgte KMD at politianmelde borgere for hacking, fordi han havde brugt et script til at demonstrere, at det var muligt at udnytte en sikkerhedsbrist til at få oplyst borgeres cpr-numre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017