Alvorlig kritik af Salling Group for at opbevare passwords i klartekst

Dato: 15-07-2022
Afgørelse Private virksomheder Alvorlig kritik Påbud Anmeldt brud på persondatasikkerheden Anmeldelse af brud på persondatasikkerheden Behandlingssikkerhed Password Uautoriseret adgang

Datatilsynet udtaler alvorlig kritik af Salling Group for at have opbevaret en række kunders passwords i klartekstformat i en logfil fra dagligvarekoncernens hjemmesider. En fejl der stod på i mere end et år.

Journalnummer: 2022-441-12449

Resume

Salling Group anvender et fælleslogin – Salling Group profil – således at brugernavn og password kan anvendes på alle de tjenester, hvor Salling Group profilen er adgangsgivende, herunder blandt andet Føtex’, Bilkas, Nettos, Sallings og Carl Junior hjemmesider.

I 2021 implementerede Salling Group et monitoreringsværktøj til at registrere hændelser og events – herunder login – på koncernens hjemmesider enkeltvis.  Ved en menneskelig fejl blev kundernes passwords ikke krypteret inden de blev lagret i systemets logfil, når kunderne loggede ind på hjemmesiden hjem.foetex.dk. Derved fik op mod 146 interne brugere i Salling Group teknisk adgang til at læse både brugernavne og passwords for et antal kunder, der havde foretaget login på hjemmesiden.

Hvis denne adgang blev udnyttet, ville der kunne skaffes adgang til navn, adresse, mailadresse, telefonnummer og eventuelle maskerede betalingskortoplysninger og købshistorik for et antal af Salling Groups kunder.

Alvorlig kritik og påbud

Datatilsynet udtaler på baggrund af sagen alvorlig kritik af, at Salling Groups behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1. om behandlingssikkerhed.

Datatilsynet har endvidere påbudt Salling Group at underrette de kunder, hvis passwords har været opbevaret ukrypteret i loggen til monitoreringsværktøjet, inden den 1. august 2022.

Passwords skal altid være krypteret

Personoplysninger i form af passwords altid skal behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret adgang og behandling. Passwords skal således til enhver tid opbevares i en irreversibel krypteret form og på en måde, der sikrer, at de ikke er umiddelbart læsbare, og at det ikke er muligt at genskabe passwordet til læsbart format.

At opbevare passwords i læsbart format (klartekst) i en logfil, lever ikke op til dette krav. Det er Datatilsynets vurdering, at passwords, der kan læses i klartekst, dermed kan gøres til genstand for misbrug, hvorfor risikoen for de registrerede er høj.

Afgørelse

Salling Group A/S (herefter Salling Group) har den 5. maj 2022 anmeldt et brud på persondatasikkerheden. Anmeldelsen har følgende referencenummer:

c80d4e631d9e0fe5b57609d8230d7e05508c10a6

Denne afgørelse erstatter Datatilsynets afgørelse af 7. juli 2022, idet tilsynet på anmodning fra Salling Group har rettet en række faktuelle oplysninger og genvurderet afgørelsen.

1. Sagsfremstilling

Det fremgår af sagen, at Salling Group i 2021 implementerede en tjeneste til registrering af hændelser og events i forbindelse med kunders adgang til en række af Salling Groups hjemmesider. Ved en fejl blev kundernes passwords ikke krypteret inden de blev lagret i loggen til monitoreringsværktøjet, der registrerede hændelser og events på hjemmesiden hjem.foetex.dk, hvorfor op til 146 interne brugere i Salling Group havde teknisk adgang til læse brugernavne og passwords for et antal kunder, der loggede ind på hjemmesiden hjem.foetex.dk.

2. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Salling Groups behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Datatilsynet meddeler endvidere Salling Group påbud om inden den 1. august 2022 at underrette de kunder, hvis passwords har været opbevaret ukrypteret i loggen til monitoreringsværktøjet og dermed har været tilgængelige for op mod 146 af Salling Groups ansatte. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

3. Salling Groups bemærkninger

Salling Group har i anmeldelsen til Datatilsynet af 6. maj 2022, og efterfølgende høring og telefonisk opfølgning anført, at Salling Group i 2021 implementerede et system til brug for kunders adgang til en række af Salling Groups hjemmesider enkeltvis. Fra den 7. januar 2021 testede ansatte i Salling Group hele flowet i systemet fra indkøb til levering på hjemmeadressen. Der blev givet offentlig adgang til tjenesten den 1. februar 2021, hvorefter kunder fik adgang til at logge ind via tjenesten på hjemmesiden hjem.foetex.dk og de øvrige tjenester, hvor Salling Group profilen er adgangsgivende, herunder Føtex, Bilka, Netto, Salling og Carl Junior. På nogen af disse sider kunne kunderne derved foretage køb.

Den 6. maj 2022 konstaterede Salling Group, at kunders brugernavne og ukrypterede passwords ved en fejl var lagret i systemets logfil for hjemmesiden hjem.foetex.dk, hvorefter systemet blev taget ud af drift.

En undersøgelse viste, at en medarbejder ved en fejl ikke havde fået slået maskering/kryptering af passwords til i det monitoreringsværktøj, der loggede hændelser og events på hjemmesiden hjem.foetex.dk, hvorved kunders brugernavn og password fra dette system blev lagret i klartekst i loggen i en måned ad gangen. Der har ikke på nogen måde været adgang til oplysningerne via systemets frontend. Fejlen blev rettet, de ukrypterede logdata blev slettet og systemet sat i drift igen.

Salling Group påpeger, at det kun har været 146 personer inden for Salling Group, der har haft teknisk adgang til de pågældende logfiler; af disse skønnes, at der kun var 5, der havde den fornødne tekniske viden til at kunne fremsøge oplysningerne. Salling Group anfører, at disse 5 medarbejdere alle er internt ansatte, er underlagt Salling Groups instruks og i øvrigt ansat i stillinger af fortrolig karakter, hvorfor Salling Group vurderer, at risikoen for de registrerede ikke er høj.

Salling Group oplyser i hørningssvaret, at hvis uvedkommende fik adgang til brugernavn og password, ville vedkommende kunne logge på andre af Sallings Groups tjenester, hvor Salling Group profilen er adgangsgivende – selvfølgelig afhængig af, hvilke tjenester det pågældende brugernavn og password var gyldigt til – og derved få adgang til navn, adresse, mailadresse, telefonnummer, og eventuelle maskerede kortoplysninger og købshistorik. Der er videre en teoretisk sandsynlighed for, at kunden kan have brugt samme mailadresse og password til andre tjenester ved andre dataansvarlige, og en uautoriseret adgang til de ukrypterede passwords kunne således hypotetisk give adgang til f.eks. sociale medier, streamingtjenester, mailkonti eller lignende.

4. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger ud fra Salling Groups anmeldelse af den 6. maj 2022, det efterfølgende høringssvar og telefoniske opfølgning til grund, at Salling Group har opbevaret et antal af virksomhedens kunders passwords i loggen til Salling Groups monitoreringsværktøj, uden at disse var krypteret, hvorved op mod 146 medarbejdere havde adgang til brugernavne og passwords for et antal kunder. Såfremt denne adgang blev udnyttet, ville der kunne skaffes adgang til navn, adresse, mailadresse, telefonnummer, samt eventuelle maskerede betalingskortoplysninger og købshistorik for et antal af Salling Groups kunder.

Det er Datatilsynets opfattelse, at personoplysninger i form af password skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret adgang og behandling. Passwords skal således til en hver tid opbevares i irreversibel krypteret form og på en måde der sikrer, at disse ikke er umiddelbart læsbare og at det ikke er muligt at genskabe passwordet til læsbart format. At opbevare passwords i læsbart format i en logfil, lever efter tilsynets opfattelse ikke op til kravene i databeskyttelsesforordningens artikel 32, stk. 1.

Det er Datatilsynets opfattelse, at password, der kan læses eller opbevares i klar tekst, kan gøres til genstand for misbrug. Det er herudover Datatilsynets opfattelse, at det er et kendt risikoscenarie, at kompromittering af handelsplatforme og logningsoplysninger på disse ofte gøres til genstand for udefrakommende angreb eller at interne adgange bruges uberettiget. Det er derfor Datatilsynets vurdering, at denne risiko for de registrerede er relativt høj.

4.1. Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med fortrolige oplysninger om et stort antal brugere, skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger, at der gennemføres en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed og at man som dataansvarlig sikrer, at oplysninger om registrerede, herunder fortrolige oplysninger, ikke kommer til uvedkommendes kendskab.

4.2. Afgørelse

Datatilsynet finder på ovenstående baggrund, at Salling Group – ved at indsamle og opbevare kunders passwords i loggen til selskabets monitoreringsværktøj uden at disse var krypteret – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved selskabets behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Salling Groups behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har ved valg af reaktion lagt vægt på, at der er tale om et stort antal kunder, hvis passwords blev opbevaret og var tilgængelige i læsbart format, hvilket kunne have alvorlige konsekvenser for kunderne, såfremt deres persondata faldt i uvedkommendes hænder.

Salling Group har til Datatilsynet oplyst, at fejlen er blevet rettet således at der ikke længere lagres ukrypterede passwords i monitoreringsværktøjets log. Endvidere har Salling Group endegyldigt slettet alt bagudrettet brugerdata fra logfilerne.

5. Påbud

Datatilsynet finder grundlag for at meddele Salling Group påbud om at underrette de kunder, hvis passwords har været opbevaret ukrypteret i loggen til selskabets monitoreringsværktøj og dermed har været tilgængelige for op mod 146 af Salling Groups ansatte. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.

Datatilsynet lægger til grund, at et antal kunders password er blevet opbevaret i klar tekst og at der var adgang til oplysningerne for op til 146 medarbejdere. 

Uanset at loggen alene gik 30 dage tilbage, finder Datatilsynet, at det – idet adgangsrettighederne var givet til op til 146 brugere og at oplysningerne blandt andet indeholdt navn, adresse, mailadresse, telefonnummer, og eventuelle maskerede kortoplysninger og købshistorik for et antal kunder – henset til de kendte risikoscenarier, medfører at der sandsynligvis er en høj risiko for de registreredes rettigheder og frihedsrettigheder. Datatilsynet finder derfor, at skal ske underretning af de registrerede efter databeskyttelsesforordningens artikel 34.

Fristen for efterlevelse af påbuddet er den 1. august 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).