Platform til ejendomshandel havde ikke styr på sikkerheden – kriminelle kunne tilgå CPR-numre

Annonceindlæg fra DE-CIX

Hæver barren for det moderne netværk, mens den digitale transformation accelererer

Uanset deres størrelse, formål eller branche udvikler virksomheder over hele verden sig mod en mere digital arbejdsform.

Selskabet Mindworking, som leverer en platform til ejendomshandler, havde ikke styr på sikkerheden som databehandler.

Derfor udtaler Datatilsynet kritik af selskabet.

Selskabet havde ikke sikret sig mod, at uvedkommende – ved inspektion af kildekoden (XML-koden) – kunne tilgå personoplysninger på platformen.

”Tilsynet havde i en periode modtaget en lang række anmeldelser om brud på persondatasikkerheden fra de ejendomsmæglere, som havde benyttet platformen i deres virksomhed. Datatilsynet valgte på den baggrund at starte en sag af egen drift mod Mindworking A/S,” skriver Datatilsynet i en meddelelse.

Oplysninger, der kunne tilgås på platformen, var de oplysninger, som den enkelte ejendomsmægler havde knyttet til en konkret ejendom, der var til salg.

Der var blandt andet tale om navne på potentielle købere og den pris, de havde tilbudt for ejendommen, samt dokumenter med personoplysninger.

Det kunne være udkast til købsaftaler, der indeholdt cpr-numre og identitetsoplysninger.

Enkelte af personoplysningerne var allerede offentliggjorte oplysninger fra tinglysningsportaler.

”Oplysningerne kunne tilgås af brugere, der var tilknyttet konkrete salgssager, og efter de var logget ind med et brugernavn og adgangskode. Brugeren kunne få adgang til oplysningerne ved at trykke på en funktionstast og aktivere såkaldte ”Dev tools”,” skriver tilsynet.

Havde ikke testet

Datatilsynet fastslår, at der generelt ikke i kildekoden eller i visningslagets kommentarfelter skal fremgå personoplysninger.

”Dette gælder også for oplysninger, der ikke er personoplysninger, men som vil kunne kompromittere behandlingssikkerheden - f.eks. hvis det er muligt i klar tekst at se styringsparametre på services, certifikater eller lignende,” skriver tilsynet.

Tilsynet lægger derudover vægt på, at det ikke kan betragtes som en sikkerhedsforanstaltning, at adgang til oplysningerne krævede, at den enkelte bruger skulle aktivere ”Dev Tools” i browseren.

”Det er Datatilsynets opfattelse, at funktionaliteten ved at benytte den pågældende funktionstast er en almindelig kendt proces for inspiceringen af kildekoden, der ikke kræver særlige kompetencer inden for it-sikkerhed,” skriver tilsynet.

Myndigheden konkluderer, at Mindworking burde have gennemført relevante tests af platformen før den blev taget i brug, da der er tale om kendte og almindelige fejl, der nemt burde have været undgået.