Journalnummer: 2021-441-9489
Resume
Datatilsynet har truffet afgørelse i en sag, hvor Designbysi ApS har anmeldt et brud på persondatasikkerheden.
Designbysi var udsat for et hackerangreb, hvor uvedkommende indsatte et JavaScript på Designbysis webshop for at indsamle deres kunders kortoplysninger.
Designbysi havde ikke inden hændelsen indført multifaktor login for de brugere, der havde adgang til at ændre i betalingsscriptet.
Datatilsynet fandt på den baggrund grundlag for at udtale alvorlig kritik af Designbysi.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Designbysis behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Designbysi har den 25. juni 2021 anmeldt et brud på persondatasikkerheden til Datatilsynet.
Det fremgår af anmeldelsen, at eksterne havde indsat et uautoriseret JavaScript på Designbysis webshop for at indsamle deres kunders kortoplysninger. JavaScriptet medførte, at kunder i forbindelse med deres køb, fik en fejlmeddelelse, hvorefter de blev anmodet om at indtaste deres kortoplysninger endnu en gang.
Designbysi har oplyst, at den 22. juni 2021 modtog de en mail fra Nets omkring bruddet på persondatasikkerheden, og Designbysi kontaktede Databehandleren lige efter. Samme dag blev det uautoriseret JavaScript afbrudt på webshoppen.
Det fremgår af redegørelsen fra Databehandleren, at på baggrund af logs kunne Databehandleren konkludere, at angrebet først var set aktivt den 23. april 2021.
Det fremgår endvidere af redegørelsen fra Databehandleren, at angrebet sandsynligvis blev udført ved at udnytte et stjålent/gættet loginoplysninger for den specifikke webshop. Databehandleren baserede denne konklusion på, at kun Designbysis webshop havde det uautoriserede JavaScript, hvilket peger på en specifik grund til angrebet.
Databehandleren har oplyst, at det ikke er muligt at oplyse præcist, hvor mange og hvilke kort, der har været berørt. Men Databehandleren formoder, at angrebet potentielt kan have berørt alle der handlede på designbysi.dk mellem den 26. april 2021 og 22. juni 2021, begge dage inklusiv.
Dette vil også omfatte kortholdere, der gav op efter fejlmeddelelsen, og dermed er der ingen konkrete oplysninger om disse.
Designbysi har oplyst, at det potentielt kan være alle X-antal kunder, der har handlet på den danske side i perioden, som er berørt. Designbysi sendte den 28. juni 2021 en mail ud til alle berørte kunder omkring bruddet på persondatasikkerheden og anbefalede kunderne at kontakte deres bank.
Designbysi har endvidere oplyst, at de den 22. juni 2021 har indført to-faktor-autentifikation på alle deres seks brugere, samt skriftet passwords. Alle seks personer, hvoraf tre er indehavere, er blevet informeret om at være varsom med evt. skadelige links i mails. Alle Designbysis computere et blevet renset, og tjekket for mulige ubudne gæster, men intet er fundet.
Derudover har Designbysi spurgt Databehandleren om at få fjernet Designbysis mulighed for at ændre i betalingsscriptet. I den forbindelse har Designbysi oplyst, at dette – på tidspunktet for besvarelsen den 29. juli 2021 – ikke var muligt, men noget Designbysi ville presse på for.
Designbysi har oplyst, at Databehandleren har svaret: ”Hændelsen er sket ved at 3. part har fået adgang til webshoppens kontrolpanel ved at kende brugernavn og kodeord. Webshopsystemet har i sig selv ikke haft sikkerhedshuller.”
Efterfølgende har Databehandleren gjort Designbysi opmærksom på to-faktor-autentifikation, som Databehandleren har givet Designbysi adgang til, og som Designbysi har arkiveret på alle login.
Databehandleren har oplyst over for Designbysi, at Databehandleren ikke verificerer kode eller ændringer, som kunden selv installerer på webshoppen. Det påhviler webshopejer selv at verificere og kontrollere den kode og de ændringer, som denne laver til sin webshop.
I den forbindelse har Designbysi anført, at de ikke er enig som kunde. Designbysi kan ikke se, hvordan de selv skulle kunne opdage problemet, eller kunne tyde forskellige JavaScripts i en opsætning.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet kan ikke på baggrund af det oplyste til sagen konstatere, hvilken svaghed hos Designbysi, de uvedkommende har udnyttet.
Datatilsynet lægger på baggrund af det af Designbysi og Databehandleren oplyste til grund, at Designbysi først efter hændelsen har indført to-faktor-autentifikation for administrative rettigheder til webshop og domænet.
Datatilsynet lægger endvidere på baggrund af det oplyste til grund, at seks medarbejderes loginoplysninger gav adgang til at ændre i betalingsscriptet.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at loginoplysninger der giver adgang til betalingsoplysninger eller mulighed for at ændre i betalingsscript, skal sikres mod at hackere kan få adgang til oplysningerne alene med et franarret brugernavn og adgangskode, f.eks. fra et phisingangreb. Det er således Datatilsynets vurdering, at det er en passende sikkerhedsforanstaltning at implementere multifaktorgodkendelse på sådanne loginoplysninger. Det er herudover tilsynets opfattelse, at en adgang til betalingsmoduler og ændringsrettigheder til domænet generelt bør begrænses til en særligt navngivet konto, der alene bruges til dette formål og et passende komplekst password med samtidig multifaktor login, dette for at mindske muligheden for, at de konti medarbejdere bruger til dagligt ved et angreb på deres daglige kommunikation, kompromitterer betalingsservicen og roddomænets adgangssikkerhed.
Datatilsynet finder på ovenstående baggrund, at Designbysi – ved at undlade at gennemføre sådan dobbelt verifikation – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Designbysis behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Designbysis behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion i skærpende retning lagt vægt på, at de manglende sikkerhedsforanstaltninger gjorde det muligt for hackerne at få adgang til betalingsoplysninger om Designbysis kunder, hvilket potentielt kunne medføre en økonomisk skade for de berørte kunder.
Datatilsynet har noteret sig, at Designbysi i forlængelse af sagen har indført to-faktor-autentifikation på alle deres seks brugere, samt skriftet passwords.
For vejledning om stærke passwords henviser Datatilsynet desuden til Center for Cybersikkerheds passwordvejledning[2] eller NIST 800-63-3.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] https://www.cfcs.dk/globalassets/cfcs/dokumenter/vejledninger/-vejledning-passwordsikkerhed-2020.pdf