ANSA (Association of Norwegian Students Abroad) tilbyr blant annet studentforsikring til sine over 10 000 norske medlemmer.
Databasen som er tilknyttet nettstedet har passord lagret i klartekst. En bekymret leser tipset oss og skriver følgende.
– Nå er jeg ikke noe datageni, men det er vel ikke helt heldig, både med tanke på om noen skulle få tilgang til epost-kontoen, men det viktigste er vel hva det sier om hvordan de lagrer passordet? Kan det stemme? Det er jo få andre steder som gjør det slik?
Helt riktig. Vi har sjekket og kan bekrefte at passordene er lagret i klartekst. Har man glemt passordet kan man få det tilsendt på epost. Dette er som kjent i strid med god sikkerhetspraksis.
Jobber med saken
Raskt viser det seg at studentorganisasjonen er kjent med problemstillingen. De svarer at de jobber med å endre på løsningen.
– ANSA og ANSAs tjenesteleverandører jobber med nøyaktig denne utfordringen as we speak i håp om å lande dette innen 25. mai. Det har stått på avvikskjemaet vårt i en tid og vi er glad for at vi nå klarer å møte krav til sikkerhet og personvern som det skal, sier generalsekretær Anders Petterød Halvorsen i en uttalelse sendt til digi.no.
Datoen han nevner er ikke tilfeldig, men direkte knyttet til innføringen av EUs nye personvernforordning, General Data Protection Regulation som da trer i kraft i Europa.
- Les kommentar: Dette kan du forvente deg etter at GDPR trer i kraft
Norge vil innlemme det nye regelverket i form av ny personvernlovgivning som kommer til å gjelde fra 1. juli i år. Sikkerhetsbrudd med lekkasje av personopplysninger vil etter dette kunne resultere i potensielt høye bøter.
– Vi gjennomgår for tiden en stor justering i henhold til systemer og krav ref GDPR. På sommerens tillitsvalgtkurs vil dette være et av de temaene som står høyest på listen, opplyser generalsekretær i ANSA, Anders Petterød Halvorsen.