Søg

Loggede ind i e-Boks - og fik straks adgang til anden brugers konto

En bruger af selvbetjeningsløsningen e-Boks Express oplevede af to omgange ved login, at han kom direkte ind på en anden brugers profil. Dette it-koks får nu Datatilsynet til at udtale kritik af e-Boks, selvom fejlen oprindeligt opstod hos Nets.

22. marts 2022 kl. 14.51
Artikel top billede

(Foto: PR-Foto)

Rasmus Ferdinand Ginman Rasmus Ferdinand Ginman Tidligere erhvervsredaktør

Da en bruger af e-Boks Express i marts sidste år loggede ind på tjenesten, kom han i stedet direkte ind på en anden brugers profil.

Denne it-mæssige bommert udløser nu kritik fra Datatilsynet, der indledte en undersøgelse af e-Boks tilbage i april 2021, oplyser myndigheden i en meddelelse.

På e-Boks Express kan virksomheder sende beskeder og dokumenter via en selvbetjeningsløsning.

Ifølge Datatilsynet skulle der være tale om en fejl i Nets' opsætning af brugervalideringen af NemID, hvilket udløste fejlen.

Det medførte, at når en bruger tilgik e-Boks Express ved at logge på med NemID Erhverv/NemID medarbejdersignatur med nøglekort, kunne der etableres adgang til andre virksomheders oplysninger og oplysninger om sendte dokumenter, lyder det.

Selvom fejlen angiveligt opstod hos Nets, så udtaler Datatilsynet stadig kritik af e-Boks, da:

"E-Boks ikke havde levet op til kravet om passende sikkerhedsforanstaltninger, fordi e-Boks ikke havde testet alle relevante brugsscenarier ved login i e-Boks Express."

Fejlen berørte kun et "begrænset antal brugere"

Datatilsynet argumenterer derfor for, at e-Boks burde have opdaget fejlen med, at e-Boks Express gav adgang til andre brugeres data gennem tests af systemet.

Dette har altså fået Datatilsynet til at udtale kritik af e-Boks' behandling af personoplysninger, der ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen.

Selve fejlen relaterede sig alene til brug af nøglekort, lyder det. e-Boks har senere oplyst, at virksomheden har været i dialog med Nets', der har bekræftet, at fejlen i opsætningen er blevet rettet.

Nets har ligeledes fortalt Datatilsynet, at fejlen kun omhandlede personer, der brugte NemID-nøglekort samtidig med e-Boks Express-løsningen. Det var derfor ikke en generel fejl hos NemID, og derfor berørte fejlen kun et mindre antal brugere, lyder det.

Login beskytter ikke nødvendigvis data

Datatilsynet blev bekendt med sikkerhedsproblemet i april sidste år, hvorefter myndigheden indledte en undersøgelse af egen drift.

Datamyndigheden tilføjer i meddelelsen, at login i udgangspunktet ikke beskytter data, hvis det er sat forkert op.

"Afgørelsen illustrerer blandt andet, at login – uanset at det er med NemID – ikke beskytter data, hvis rettighederne, som brugeren får efter login, ikke er korrekte," tilføjer Datatilsynet.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Cyber Security Festival 2026

    Event: Cyber Security Festival 2026

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

    18 & 19 november 2026 | Gratis deltagelse

    Unik System Design A/S

    DevOps Engineer

    Nordjylland

    Erhvervsakademi Aarhus

    Undervisere til it-uddannelser

    Midtjylland

    BEC Financial Technologies

    Java software engineer (regular)

    Region Sjælland

    Jyske Bank

    Forretningsudvikler til porteføljestyring

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 15. marts 2026 ansat Jouni Salo som Account Manager for Sverige. Han skal især beskæftige sig med med at styrke Renewtechs nordiske tilstedeværelse med fokus primært på det svenske marked. Han kommer fra en stilling som Key Account Manager hos GoGift. Han har tidligere beskæftiget sig med udvikling af salgsaktiviter og kunderelationer på tværs af flere markeder. Nyt job

    Jouni Salo

    Renewtech ApS

    Mikkel Hjortlund-Fernández, Service Manager hos Terma Group, har pr. 26. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest. Foto: Per Bille. Færdiggjort uddannelse

    Mikkel Hjortlund-Fernández

    Terma Group

    netIP har pr. 20. januar 2026 ansat Kennet Svane Christensen som IT Supporter ved netIP's kontor i Thisted. Han skal især beskæftige sig med opgaver i Datacenteret, hvor han vil få sin base i størstedelen af sin læretid. Nyt job

    Kennet Svane Christensen

    netIP

    netIP har pr. 20. januar 2026 ansat Haukur Ingi Thordarson som Datateknikerelev ved netIP Thisted/Aalborg. Han er uddannet student fra Aarhus Akademi i 2019 og arbejdede derefter som lagerarbejder. Han har tidligere beskæftiget sig med IT-området, da han har været i gang med Datamatikerstudiet. Nyt job

    Haukur Ingi Thordarson

    netIP

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Kenneth fra Vejle lever sammen med en af Elon Musks første humanoide robotter: "Den er faktisk en fed fyr"
    2 Hård kritik efter tirsdagens stor-nedbrud: MitID er som en stor hullet ost og kan udvikle sig til en national katastrofe
    3 Dansk stjerne-CIO fratræder: Det blev til to og et halvt år i en af verdens største logistik-virksomheder
    4 Datacentre hæver temperaturen omkring sig op til 10 kilometer væk: I ét tilfælde steg jordtemperaturen ni grader
    5 Anthropic-medarbejder har ved et uheld lækket hele Claude Codes kildekode: 500.000 linier kode sluppet fri
    6 Vi tester to udgaver af Denons Home-højttalere - og vi er ikke i tvivl om dommen
    7 Mørklægger årsag til tirsdagens timelange MitID-nedbrud: Vil intet fortælle af 'sikkerhedsmæssige årsager'
    8 Oracle har kastet sig ud i massiv fyringsrunde: Vil skille sig af med flere tusinde medarbejdere

    Se seneste uge