Supermarkeds-gigant havde millioner af nummerplade-scanninger på nettet: Intet login

Illustration: Mino, BigStock
En britisk supermarkedskæde har scannet millioner af nummerplader og gemt dem online, hvor de kunne tilgås uden så meget som et kodeord.

Den britiske supermarkedskæde Tesco har haft billeder brugt til nummerpladescanning gemt i en Microsoft Azure blob, der ikke krævede login. Der er tale om et tocifret million antal billeder, afslører The Register.

Det er billeder taget ved 19 forskellige parkeringspladser ved kædens butikker. Billederne afslørede nummerpladerne med tidsregistrering, mens resten af billederne var i for lav opløsning til at vise ansigter.

Tesco bekræfter overfor The Register, at historien er sand, og at det var en øvelse i datamigration, der havde efterladt billederne tilgængelige.

Systemet blev brugt til at udskrive parkeringsafgifter. Folk, der ville parkere, skulle registrere bilen i en app, og hvis informationen i appen stemte overens med parkeringsscanneren, så var alt okay – ellers kunne de blive afkrævet en afgift.

En talsmand fra Tesco siger til The Register:

»En teknisk fejl i en parkerings-app har ført til, at man i en kort periode har kunnet tilgå gamle billeder af biler, der kommer ind og ud af vores parkeringspladser. Mens billederne ikke afslører personer eller anden sensitiv data, så er en sikkerhedsbrist uacceptabel, og vi har nu midlertidigt stoppet brugen af den app, mens vi samarbejder med vores leverandører for at sikre, at det ikke sker igen i fremtiden.«

Det vides ikke, hvor længe billederne var tilgængelige, men hvis man forsøger at få adgang til blobben nu, får man en fejl 403 (This web page is stopped).

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Nielsen

At man har gemt oplsyninsger i længere tid end nødvendigt, også må man spørger til hvad ?

At oplsyninger ikke er krypteret

Men de må jo nu have travlt med at kontakte de 2 millioner bruger.
som de jo nu skal i gang med ifølge GPDR.

Hvad bødens størelse bliver, kommer jo an på hvordan de også håntere tingen bag efter.

  • 2
  • 1
Klavs Klavsen

Hvornår bliver det personfølsomt og omfattet er GDPR reglerne?


Hvis jeg læser artikel 4 i GDPR https://gdpr-info.eu/art-4-gdpr/ - så er personlig data defineret som alt der kan henlede til en person og der står intet om hvilke adgangskrav det evt. kræver for faktisk at udlede personen.. Hvilket umiddelbart må betyde at nummerplader ER "personal data".. og Hvis det står til troende, så er ovenstående klart et brud på https://gdpr-info.eu/art-5-gdpr/ - hvor de beskrives hvordan de må behandle sådanne data.. f.ex. "processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing".

Ingen login = ingen check for authorization :)

  • 2
  • 0
Klavs Klavsen

HVIS man har adgang til nummerpladeopslag - kan man udlede ejeren af bilen - og så er man inden for "den personlige sfære" IMHO.. det peger ihvertfald på én eller flere personer. og igen som jeg læser artikel 4 - så behøver det ikke at være "den person der kørte bilen".. det skal bare henlede til en person (uanset om det ER den rigtige) - og politiet anvender da også nummerplader til at henlede til en person de sender bøder til.. Hvis det ikke var personlig data - kan jeg ikke se hvorfor datatilsynet bekymrer sig så meget om nummerplade scanninger.. Der står intet i artikel 4 om at muligheden for at henlede til en person - skal være noget alle kan.. kun at "hvis man kan"..

  • 5
  • 0
Klavs Klavsen

Link som Ronni fandt (og hvis kommentar er forsvundet?):
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-t...

Der klart forklarer at netop VIN numbers er personfølsomme data og falder under GDPR - og alle datatilsyn i EU fortolker den samme GDPR lovgivning jeg linkede til, så de bør i princippet komme frem til de samme fortolkninger :)

  • 0
  • 0
Klavs Klavsen

Interessant nok, da VIN jo står på et fint lille skilt i forruden på alle nyere biler. :)


Ja og hvis du har bilen foran dig LIGE NU - så kan du også læse nummerpladen.. Men det er IKKE det samme, som når man systematisk gemmer den information.. Mængden af anvendelsesmuligheder (og misbrugsmuligheder) stiger, når man lige pludselig gør ting systematisk - som man kan med IT.. Men man kunne også få en til at sidde på en stol og skrive nummerplader og tidspunkter ned.. Det ville ligeså meget være personhenførbar information, der faldt under GDPR :)

  • 7
  • 0
Jesper Nielsen

Hvordan kan man udlede person fra nummerplade?

Jeg spørger helt oprigtigt, da jeg pt. sidder med et system, som påtænker at gemme nummerplade, som en nøgle, men ikke persondata, som navn, telefon, adresse osv.

Læs evt. denne artikel og den bagvedliggende dom. Selvom den handler om IP-adresser er der mange ligheder til nummerplader: En IP-adresse henviser til ejeren af internetforbindelsen og ikke nødvendigvis brugeren på det aktuelle tidspunkt, mens en nummerplade henviser til ejeren af bilen og ikke nødvendigvis føreren på det aktuelle tidspunk.

https://www.whitecase.com/publications/alert/court-confirms-ip-addresses...

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize