Så langt har det danske Datatilsynet mottatt 251 anmeldelser om brudd på GDPR fra kommuner, selskaper og institusjoner etter at det ble kjent at innhold sendt fra den danske epostleverandøren «Sikker mail» har vært «åpen for alle som vil se» siden 2017. Det skriver Version2.
Tjenesten leveres av det danske selskapet Logiva, og brukes til å utveksle krypterte og signerte epostmeldinger. Ved å manipulere nettstedlenker har det vært mulig å få tilgang til innholdet på webserverne uten innlogging.
– Dette er veldig trist og kjedelig. Jeg kan kun stå med bøyd hode, og så mye mer er det ikke å si, sa administrerende direktør Jens Winther Wullf i Logiva til Version2 i begynnelsen av februar da sikkerhetshullet ble allment kjent.
350 000 brukere
Tjenesten har blitt brukt til å sende følsomme opplysninger om danskenes helsetilstand, økonomi og straffbare forhold.
I midten av januar ble det danske selskapet gjort oppmerksomme på sikkerhetshullet, og stengte umiddelbart ned tjenestene. Selskapet leverer «sikre» epost-tjenester til omtrent 350.000 brukere.
Norsk Betongindustri rammet av løsepengeangrep
48 danske kommuner skal blant annet stå på kundelisten til selskapet. 50.000 forsikringskunder skal være berørt av fadesen.
I løpet av perioden sårbarheten har vært aktiv har den danske forsikringsaktøren sendt 106.000 meldinger gjennom den «sikre» portalen.
ID-tyveri
Opplysningene som har blitt sendt kan i verste fall utnyttes i for eksempel ID-tyveri.
– Ikke alle våre kunder har vært berørt av sikkerhetshullet. Kundene har vært fordelt på flere servere, og sikkerhetshullet har ikke slått til på alle disse, sa sjefsutvikler Jens Mønster Sørensen i Logvia til Version2 i begynnelsen av februar.
Dataene som utveksles i tjenesten ligger kun lagret i 30 dager, og det samme gjør loggfilene.
Derfor er det umulig å si om sikkerhetshullet har blitt utnyttet i utstrakt grad.
Det var det danske sikkerhetsselskapet Improsec som oppdaget sikkerhetshullet 16. januar i år.
– Tenk sikkerhet!
Det danske Datatilsynet melder om at dette er en av de mest omfattende GDPR-fadesene de har sett i Danmark.
– 251 er usedvanlig mange anmeldelser, og i den høye enden av det vi har sett av innrapporteringer på en og samme leverandør, sier sikkerhetsekspert Allan Frank i Datatilsynet til Version2.
Lekket rapport: Nordea klarte ikke å katastrofeteste IT-systemene
Han mener hendelsen understreker hvor viktig det er å tenke sikkerhet når ny programvare utvikles.
– Hvis en URL benyttes til å gi adgang til opplysninger, kreves det at URLen har så forskjellig entropi at det vil være helt umulig å gjette korrekt adresse, sier han til den danske nettavisen.
