Sikkerhedsbrist hos Mybanker.dk A/S

Publiceret 03-10-2008
Historisk afgørelse Private virksomheder

Journalnummer: 2008-631-0046

Datatilsynet blev i august måned 2008 bekendt med, at der havde været en sikkerhedsbrist på internetsiden www.mybanker.dk, og tilsynet anmodede ved brev af 8. august 2008 Mybanker.dk A/S om en udtalelse. 

Mybanker.dk A/S er ved brev af 11. august 2008 fremkommet med en udtalelse i sagen.

Mybanker.dk A/S har oplyst, at selskabet den 5. august 2008 blev ringet op af en bruger, der fortalte om et sikkerhedsbrist i Mybanker.dk A/S' system. Fejlen muliggjorde, at man under særlige forhold kunne se andre brugeres data i "tilbudsknappen", som er en del af Mybanker.dk A/S' system.

Med den oplysning gik Mybanker.dk A/S straks ind i systemet og fandt fejlen og slettede data om de 6 personer, som var berørt af fejlen.

Om fejlen har Mybanker.dk A/S oplyst, at hvis en bruger af flere omgange forsøgte at komme ind i systemet uden at opgive sin e-mail og et kodeord, kunne det under særlige omstændigheder forekomme, at brugeren alligevel fik lov at komme videre ind og indtaste sine personlige oplysninger. Hvis brugeren derefter trykkede på "gå tilbage knappen" og søgte tilbage på denne måde uden at gå videre i systemet, blev det muligt at se andre kunder, som tidligere havde været berørt af samme fejl, og altså ikke havde opgivet e-mail. Man kan sige, at der var oprettet en fælleskonto uden e-mail.

Mybanker.dk A/S har oplyst, at bristen er sket i forbindelse med selskabets systemopdatering i januar 2007 og blev lukket den 5. august 2008. Systemet tillader herefter ikke, at man kommer videre uden at indtaste e-mail samt kodeord.

Om omfanget af sikkerhedsbristen har Mybanker.dk A/S oplyst, at 5 personer har fået deres personnummer og lønforhold samt ønsker om nye lån blotlagt for den sjette bruger, der kontaktede Mybanker.dk A/S. Tilsvarende har den femte bruger kunnet se oplysninger om 4 personer osv. Hullet har kun været åbent for de 6 personer og kun i forbindelse med indtastning af oplysninger. Derved har ingen andre brugere af Mybanker.dk kunnet benytte hullet.

Mybanker.dk A/S har oplyst, at selskabet - efter en henvendelse den 8. august 2008 fra en journalist fra Fyens Stiftstidende - kontaktede de 5 andre personer den 8. og 9. august 2008. Ifølge Mybanker.dk A/S står det efter samtale med de 5 personer klart, at ingen af dem har brugt hullet. Derved har ingen af de 5 set hinandens oplysninger.

Mybanker.dk A/S har oplyst dette for brugeren, som fandt fejlen. Samtidig har Mybanker.dk A/S bedt denne bruger om med det samme at slette alle de data, som han har fået ud af systemet.

Endelig har Mybanker.dk A/S oplyst, at virksomheden har sat en specialist til bl.a. at lave en kritisk sikkerhedsgennemgang af selskabets system.

Datatilsynet skal på den baggrund udtale:

Relevante regler i persondataloven

Lovens § 41, stk. 3, foreskriver, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forplig-telse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

Det er Datatilsynet opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for omfattende videregivelse af fortrolige eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af virksomhedens systemer

Datatilsynet finder det skete meget beklagelig

Datatilsynet lægger på baggrund af det oplyste til grund, at det som følge af en sikkerhedsbrist har været muligt at se oplysninger om andre brugeres personnummer, lønforhold samt ønsker om nye lån i Mybanker.dk A/S' system. Dermed har Mybanker.dk A/S ikke levet op til kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det skete meget beklageligt.

Datatilsynet har noteret sig det oplyste om, at Mybanker.dk A/S den samme dag, selskabet blev gjort opmærksom på sikkerhedsbristen, rettede op på fejlen og har sat en specialist til bl.a. at lave en kritisk sikkerhedsgennemgang af selskabets system.

Endvidere har Datatilsynet noteret sig, at Mybanker.dk A/S har bedt brugeren, der fandt fejlen, om med det samme at slette alle de data, som han har fået ud af systemet.

Underretning af de berørte personer

Hvis en virksomhed ved en fejl er kommet til at gøre oplysninger tilgængelige på internettet i strid med loven, skal virksomheden gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmesidetekst "Utilsigtet offentliggørelse på internettet" .

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været gjort tilgængelige ved en fejl, bør de efter Datatilsynets opfattelse underrettes.

Datatilsynet har noteret sig det oplyste om, at Mybanker.dk A/S har underrettet de berørte personer.

Datatilsynet foretager sig herefter ikke yderligere i sagen.

Datatilsynet skal for en god ordens skyld gøre opmærksom på, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.