Valideringsfejl i kæmpe kommune-system: Borgere kunne se hinandens biblioteksdata
En valideringsfejl i kommunernes fælles bibliotekssystem (FBS) har betydet, at borgere i kommuner over hele landet har kunnet se hinandens indlån, udlån og udeståender på offentlige biblioteker.
Det fremgår af en række dokumenter fra Kombit, som Version2 har fået aktindsigt i.
Systematic er leverandør på systemet, der bruges af alle landets 98 kommuner, og i en orientering til Kombit fra 12. november skriver den aarhusianske it-virksomhed således:
- emailE-mail
- linkKopier link

Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Ifølge en rapport fra den jyske it-virksomhed har de test, man har gennemført, inden opdateringen blev rullet ud, heller ikke fanget fejlen, og derfor har sagen ført til, at man har gennemført et kodereview på autentifikationsområdet og indført en ny automatisk test.
At "gøre sig lystig". Et godt eksempel på virksomhedens "kompetancer".
Jeg håber, at den jyske sundhedsplatform (region Midtjylland, red.) ikke er, eller har været ramt af samme problem.
Det ryster mig noget, at man kan overse sådan en fejl i testen.
- more_vert
- insert_linkKopier link
@Anders Kousgaard Det er naturligvis rigtigt, og naturligvis skal love overholdes.
MEN det er en gammel lov, som bygger på et andet syn på CPR-nummeret - som både har ført til tidligere tiders fejlagtige anvendelse og opfattelse. "Det var åh, så hemmeligt, og kunne derfor anvendes som id ved allehånde login.".
Fokus skulle istedet rettes mod dårlige PIN / password / løsen og brug af to-faktor hvor relevant. Og dertil relevante in-depth beskyttelser hvor relevant.
F.eks. bankerne, hvor jeg i min bank, som endnu er stor, ikke kan beskytte mine konti mod urimelige hævninger. Jeg kan ikke sætte et time-, dags- eller uge maksimum - som kunne beskytte mig mod en konto-tømning. Jeg ved godt hvornår jeg køber ferie, bil eller hus, og derfor - med passende Nem-id beskyttelse eller andet - kan autorisere "stor hævning". Hvor "dum" er den bank egentlig ?
- more_vert
- insert_linkKopier link
Det er nu ikke helt rigtigt. CPR-nummeret er en almindelig personoplysning, som i henhold til databeskyttelseslovens § 11, stk, 3, skal behandles fortroligt.
- more_vert
- insert_linkKopier link
Som beskrevet, så var kravet om bruger-kode (PIN) sat ud af kraft. De fleste kendte systemer, herunder NemId, vil fejle i deres hensigt, HVIS denne fejl eksisterer.
Så derfor er det en så teknisk set alvorlig fejl, at næsten al anden sikkerhed bortfalder. Hvis / når fejlen er sket OG det rygtes, så er de kun EEN valid handling: STOP uden forsinkelse.
Hvad kan man lære af "episoden": sikkert at lige netop bruger-login naturligvis er kritisk. Derfor må enhver "ændring" / "rettelse" i den del af et system omfattes af helt særlig check og test.
Er det sket her ?
- more_vert
- insert_linkKopier link
Det er vel derfor at der også skal anvendes PIN-kode.
- more_vert
- insert_linkKopier link
Ikke lige foreløbigt, men hvad har det med denne sag at gøre. Systemet bruger, så vidt jeg kan læse mig til, cpr som brugernavn hvilket det er storartet til.
- more_vert
- insert_linkKopier link
CPPR nummer er ikke fortroligt, men alligevel insisterer alt offentligt på at bruge det.
- more_vert
- insert_linkKopier link