Sikkerhedsbrist på Easypark A/S' hjemmeside

Dato: 02-07-2008
Historisk afgørelse Private virksomheder

Journalnummer: 2008-631-0039

Datatilsynet vender hermed tilbage i sagen om sikkerhedsbristen på Easypark A/S’ hjemmeside.

Datatilsynet kan konstatere, at der som følge af en menneskelig fejl i forbindelse med opdatering af Easypark A/S’ system har været en sikkerhedsbrist på virksomhedens hjemmeside www.easypark.dk. Fejlen har medført, at uvedkommende ved at ændre brugernummeret i browserens vindue har fået adgang til andre kunders oplysninger, herunder navne, adresser og mobiltelefonnumre samt parkeringstransaktioner.

Datatilsynet finder, at Easypark A/S herved har tilsidesat sin forpligtelse efter persondatalovens § 41, stk. 3, til som dataansvarlig at etablere passende sikring imod, at oplysninger kommer til uvedkommendes kendskab. Datatilsynet finder det skete beklageligt.

Datatilsynet har noteret sig Easypark A/S’ oplysninger om, at en menneskelig fejl var skyld i sikkerhedsbristen, at sikkerhedsbristen blev rettet umiddelbart efter, at Easypark A/S blev gjort opmærksom på den, og at Easypark A/S har taget skridt til at undgå, at en tilsvarende sikkerhedsbrist opstår i fremtiden.

Hvis en virksomhed som følge af en sikkerhedsbrist har gjort kundeoplysninger tilgængelige for uvedkommende, vil det – afhængigt af de konkrete omstændigheder – følge af persondatalovens grundregel i § 5, stk. 1, om god databehandlingsskik, at den ansvarlige virksomhed skal underrette de berørte personer.

Datatilsynet har noteret sig Easypark A/S’ redegørelse for, hvorledes virksomheden har orienteret sine kunder om sikkerhedsbristen i et nyhedsbrev af 10. marts 2008.

Sagsfremstilling og begrundelse for Datatilsynets konklusion følger nedenfor.

Sagsfremstilling

Datatilsynet blev i februar måned 2008 bekendt med en sikkerhedsbrist på Easyparks A/S’ hjemmeside.

Datatilsynet kontaktede med det samme Easypark A/S telefonisk, og efterfølgende anmodede tilsynet ved brev af 4. marts 2008 Easypark A/S om en udtalelse.

Ved brev af 18. marts 2008 er Easypark A/S fremkommet med en udtalelse, som Easypark A/S ved brev af 25. marts 2008 har sendt en opdateret udgave af.

Det fremgår herefter af sagen, at Easypark A/S udbyder en tjeneste, hvor man kan betale parkeringsbilletter med mobiltelefon. Kunder, der abonnerer på tjenesten, kan starte, forlænge og standse parkeringsbetaling med deres mobiltelefon. De parkeringer, der startes, er geografisk afgrænset til for eksempel Københavns Rød Zone. I enkelte tilfælde, når der parkeres hos private parkeringsselskaber, kan mere præcise stedangivelser forefindes.

Easyparks A/S’ kunder har via hjemmesiden www.easypark.dk adgang til detaljer om deres konto samt de parkeringstransaktioner, der er foretaget. Adgangen sker ved, at man logger sig ind i systemet ved hjælp af mobiltelefonnummer samt et kodeord, der er sendt til den mobiltelefon, som er oprettet.

Easypark A/S har oplyst, at der den 15. februar 2008 opstod en sikkerhedsbrist i forbindelse med en opdatering af Easypark A/S’ system. Ved en menneskelig fejl blev kildekoden ikke implementeret i Easypark A/S’ versionskontrolsystem, hvorefter sikkerhedsbristen opstod. Som følge af dette er der nu indført et kvalitetssystem i versionskontrolsystemet.

Sikkerhedsbristen bestod i, at kunder, der var logget ind i systemet, i browserens vindue kunne ændre deres eget brugernummer til et andet brugernummer og herefter se data for denne bruger. Konkret kunne dette gøres ved at ændre i en linje i browseren. Ved at ændre et nummer, der indgik i hjemmesideadressen, kunne man få adgang til en anden kundes data.

Sikkerhedsbristen betød, at oplysninger om navn, adresse (oftest den virksomhed, hvori abonnenten arbejder), mobiltelefonnummer og parkeringstransaktioner for alle Easypark-brugere i alle lande  (Danmark, Norge, Sverige, Finland og Tyskland), var eksponeret. Der har ikke været adgang til kreditkortoplysninger, fødselsdato, CPR-nummer eller lignende. Det har ikke været muligt at søge på specifikke navne. Det har kun været muligt at få adgang til en andens konto ved at ændre brugernummeret. Hvis man ønskede at finde oplysninger om en anden given person, har det således været nødvendigt at indtaste op til 150.000 forskellige brugernumre. 

Easypark A/S blev klar over sikkerhedsbristen fredag den 29. februar 2008, og bristen blev afhjulpet samme dag kl. 12.30, hvorefter det ikke længere skulle være muligt at ændre brugernummer og se andres data. Lørdag den 1. marts 2008 blev Easypark A/S gjort opmærksom på, at et enkelt skærmbillede havde undsluppet virksomhedens opmærksomhed, hvorfor det i dette tilfælde endnu var muligt at ændre brugernummer. I skærmbilledet var det muligt at se oplysninger om navn, mobiltelefonnummer og bilens indregistreringsnummer. Denne sikkerhedsbrist blev afhjulpet samme dag kl. 13.30.

Easypark A/S’ kunder er i et nyhedsbrev af 10. marts 2008 blevet orienteret om, at virksomheden har haft en sikkerhedsbrist i sit system. I nyhedsbrevet er det oplyst, at man som kunde, efter at være logget ind, i browserens linje har kunnet ændre kundenummer fra ens eget kundenummer til et andet kundenummer, og herefter har det været muligt at se denne kundes oplysninger. I nyhedsbrevet er det endvidere oplyst, at der ikke har været adgang til kreditkortoplysninger eller andre følsomme data som CPR-nummer, men at det selvfølgelig er en sag, som Easypark A/S har taget meget alvorligt. Det er endeligt oplyst, at alt er rettet, og at Easypark A/S beklager de gener, som sikkerhedsbristen har forvoldt.

Easypark A/S har oplyst, at det er virksomhedens overordnede vurdering, at sandsynligheden for, at sikkerhedsbristen er blevet misbrugt, er relativ lav, da man har skullet være kunde hos virksomheden (hvilket 32.000 kunder er i Danmark), og man har skullet bevæbne sig med en del tålmodighed for at finde en eller flere personer, man ønskede data om, samt at parkeringstransa ktionerne endvidere er af en så generel karakter (en hel zone), at muligheden for at misbruge disse er teoretisk. Easypark A/S har bemærket, at sikkerhedsbristen naturligvis ikke må kunne lade sig gøre.

Det er endeligt oplyst, at Easypark A/S’ system hvert år gennemgås også for så vidt angår sikkerhed af statsautoriserede revisorer med speciale i IT. Systemet er ved flere lejligheder blevet certificeret – senest af Tekit, der er en del af Tüv-organisationen, samt af de tyske myndigheder Datenschutz.

Datatilsynet skal herefter udtale følgende:

Relevante regler i persondataloven

Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte personoplysninger, ligesom den dataansvarlige skal sikre sig, at virksomhedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på eller i øvrigt er tilgængelige via en hjemmeside, er omfattet af den dataansvarliges forpligtelse efter persondatalovens § 41, stk. 3.

Datatilsynet finder sikkerhedsbristen beklagelig

Datatilsynet kan konstatere, at der som følge af en menneskelig fejl i forbindelse med opdatering af Easypark A/S’ system har været en sikkerhedsbrist på virksomhedens hjemmeside www.easypark.dk. Fejlen har medført, at uvedkommende ved at ændre brugernummeret i browserens vindue har fået adgang til andre kunders oplysninger, herunder navne, adresser og mobiltelefonnumre samt parkeringstransaktioner.

Datatilsynet finder, at Easypark A/S herved har tilsidesat sin forpligtelse efter persondatalovens § 41, stk. 3, til som dataansvarlig at etablere passende sikring imod, at oplysninger kommer til uvedkommendes kendskab. Datatilsynet finder det skete beklageligt.

Datatilsynet har noteret sig Easypark A/S’ oplysninger om,  at en menneskelig fejl var skyld i sikkerhedsbristen, at sikkerhedsbristen blev rettet umiddelbart efter, at Easypark A/S blev gjort opmærksom på den, og at Easypark A/S har taget skridt til at undgå, at en tilsvarende sikkerhedsbrist opstår i fremtiden.

Underretning af de berørte personer

Hvis en virksomhed som følge af en sikkerhedsbrist har gjort kundeoplysninger tilgængelige for uvedkommende, vil det – afhængigt af de konkrete omstændigheder – følge af persondatalovens grundregel i § 5, stk. 1, om god databehandlingsskik, at den ansvarlige virksomhed skal underrette de berørte personer.

Datatilsynet har noteret sig Easypark A/S’ redegørelse for, hvorledes virksomheden har orienteret sine kunder om sikkerhedsbristen i et nyhedsbrev ad 10. marts 2008.

Sagen afsluttes

For en god ordens skyld skal det oplyses, at Datatilsynet forventer at offentliggøre dette brev på sin hjemmeside samt at give oplysninger om sagen til datatilsynene i de andre lande, hvor der som beskrevet i afgørelsen er Easypark-brugere, der har fået eksponeret deres oplysninger. Datatilsynet skal hermed henvise til persondatalovens § 65 (offentliggørelse) og § 64, stk. 2 (videregivelse af oplysninger til tilsynsmyndigheder i andre medlemsstater).

Datatilsynet betragter hermed sagen som afsluttet.

Historisk afgørelse

Dette er en historisk afgørelse truffet efter persondataloven, som ikke længere er gældende i Danmark. Datatilsynet har ikke taget stilling til, hvordan de historiske afgørelser ville være faldet ud, hvis de var truffet efter de nuværende regler, ligesom der kan være enkelte af de historiske afgørelser, som senere er blevet præciseret eller omgjort.

Se nye afgørelser

Læs om lovgivning