Journalnummer: 2020-31-4326.
Resume
Datatilsynet har truffet afgørelse i en sag, hvor et medlem af Joga klagede over, at password til login på Jogas side og app var klagers fødselsdato, og at der ikke var begrænsninger på antal loginforsøg.
Datatilsynet fandt, at Joga – ved ikke at have lavet begrænsninger på forgæves loginforsøg, og ved at bruge medlemmernes fødselsdato som et password, der ikke kunne udskiftes – ikke havde truffet passende sikkerhedsforanstaltninger.
Ved vurderingen lagde Datatilsynet vægt på, at kendte eller lettilgængelige oplysninger, f.eks. en fødselsdato, alene bør bruges som et indledende password, som efterfølgende skal ændres.
Datatilsynet lagde desuden vægt på, at de utilstrækkelige sikkerhedsforanstaltninger gjorde det muligt for uvedkommende at opnå adgang til medlemmernes personoplysninger.
Datatilsynet udtalte på den baggrund kritik af, at Jogas behandling af personoplysninger ikke var sket i overensstemmelse med reglerne om behandlingssikkerhed.
Datatilsynet gav endvidere Joga et påbud om at bringe behandlingen af personoplysninger i overensstemmelse med databeskyttelsesreglerne, ved at Jogas nuværende og nye medlemmer ved første login tvinges til at ændre deres passwords til et fornødent sikkert password, hvor der stilles krav til kodens kompleksitet.
Joga har den 13. oktober 2021 oplyst, at de har efterkommet påbuddet.
Afgørelse: Datatilsynet vender hermed tilbage til sagen, hvor […] (herefter klager) den [dato] 2020 har klaget over, at [jo:ga] ApS (herefter Joga) ikke behandler oplysninger om hende tilstrækkeligt sikkert.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Jogas behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Datatilsynet finder endvidere grundlag for at meddele Joga påbud om at bringe behandlingen af personoplysninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, ved at Jogas nuværende og nye medlemmer ved første login tvinges til at ændre deres passwords til et fornødent sikkert password, hvor der stilles krav til kodens entropi.
Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58 stk. 2, litra d.
Fristen for efterlevelse af påbuddet er den 7. oktober 2021. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.
Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at klager er kunde hos Joga, og at hendes medlemsnummer er ”jo” efterfulgt af syv tal. Klagers password til login på Jogas hjemmeside og app var oprindeligt klagers fødselsdato.
Klager rettede i januar 2020 henvendelse til Sport Solution om en mulig sikkerhedsbrist i det booking- og medlemssystem, som virksomheden sælger. Klager oplyste, at Sport Solutions kunder generede fortløbende medlemsnumre, og at passwordet altid var medlemmets fødselsdato. Klager oplyste endvidere, at hun kunne spørge på kombinationer af medlemsnummer og password så mange gange, som hun ville.
Sport Solution svarede, at Joga er en af deres kunder, og at det er kundens egen beslutning, hvilke sikkerhedsstandarder der bliver sat op. Sport Solution oplyste, at de ville tage kontakt til Joga og anbefalede klager at gøre det samme.
Klager kontaktede herefter Crossfit Copenhagen (nu Arca), som oplyste, at Arca var i dialog med udbyderen af systemet.
I august 2020 oplyste klager over for Sport Solution, at Arca havde informeret hende om, at de sammen var ved at lave forbedringer af set-uppet, men at klager ikke kunne se, at de havde foretaget nogle sikkerhedsforbedringer siden hendes henvendelse i januar 2020.
2.1. Jogas bemærkninger
Joga er den 19. januar 2021 kommet med en udtalelse i sagen. Joga har gjort gældende, at de for et stykke tid siden indførte en begrænsning på antal loginforsøg.
Joga har oplyst, at det er muligt at skifte password ved at skrive til virksomheden. Joga er endvidere i gang med at implementere, at man kan ændre sit password direkte i appen.
Herudover har Joga anført, at når man logger på booking-appen, er der ikke nogle personfølsomme oplysninger. Der er udelukkende fornavn og træningshistorik.
Den 4. maj 2021 har Joga supplerende oplyst, at Joga har implementeret, at man kan ændre sit password. Herudover vil Joga implementere et sikkerhedstiltag, som betyder, at man efter fem mislykkede loginforsøg bliver låst i en time og efter 10 gange skal man skrive til Joga for at blive låst op igen.
2.2. Klagers bemærkninger
Klager har anført, at password systematisk er fødselsdatoen for alle kunder af Joga, og at man ikke kan ændre sit password via Joga.dk. Man kan til gengæld ændre sit password via booking.sport-solutions.dk/login, men det måtte klager selv regne ud. Hverken Joga eller Sport Solution havde oplyst om denne mulighed.
Klager har endvidere anført, at problemet ved den beskrevne systematik i loginoplysninger er, at Joga ikke har nogle begrænsninger på antal forkerte loginforsøg. Klager har derfor kunnet skrive et meget simpelt script, der finder andre privatkunders gyldige loginoplysninger ved at forsøge at logge ind med medlemsnumre og passwords som følger den beskrevne systematik. I den forbindelse har klager oplyst, at systemet ikke resætter passwords eller opdager, at hun anvender et script. Klager har oplyst, at scriptet er langsomt, og at det kun finder loginoplysninger på én privatkunde. Den kunde var oprindeligt klager selv, men klager har også forsøgt med en bekendts loginoplysninger, som har givet samtykke til, at klager måtte benytte oplysningerne som bevis til Datatilsynet.
Efter Jogas oprindelige udtalelse har klager anført, at hun var usikker på, om der reelt var indført begrænsning på antal loginforsøg, og i givet fald om begrænsningen var tilstrækkelig, da det lykkedes med en mindre ændring af klagers script at foretage over 300 loginforsøg før koden gættede klagers bekendte fødselsdato, som er den 23. december.
3. Begrundelse for Datatilsynets afgørelse
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at den dataansvarlige skal sikre, at oplysninger om registrerede ikke kommer til uvedkommendes kendskab.
Datatilsynet finder, at Joga – ved ikke at have implementeret begrænsninger på forgæves loginforsøg, og ved at anvende medlemmernes fødselsdato som permanent password – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der ved Jogas behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på, at kendte eller lettilgængelige oplysninger alene bør bruges som et indledende engangskendeord, og at de utilstrækkelige sikkerhedsforanstaltninger gør det muligt for uvedkommende at opnå adgang til medlemmernes personoplysninger, f.eks. gennem et såkaldt brute force angreb, eller ved at tilegne sig oplysninger om et medlem.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Jogas behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet finder endvidere grundlag for at meddele Joga påbud om bringe behandlingen af personoplysninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, ved at Jogas nuværende og nye medlemmer ved første login tvinges til at ændre deres passwords til et fornødent sikkert password, hvor der stilles krav til kodens entropi. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58 stk. 2, litra d.
For vejledning om stærke password henviser Datatilsynet til Center for Cybersikkerheds passwordvejledning[3] eller NIST 800-63B.
Datatilsynet har noteret sig, at Joga i forlængelse af denne sag har implementeret, at man efter fem mislykkede loginforsøg bliver låst i en time, og at man efter 10 forsøg skal skrive til Joga for at blive låst op igen.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] https://cfcs.dk/globalassets/cfcs/dokumenter/vejledninger/-vejledning-passwordsikkerhed-2020.pdf