It-kriminelle har adgang til forsikringskunders data

Forsikringsselskaber sløser med kundernes sikkerhed. Kritisabelt og alvorligt, fastslår eksperter

Forsikrings-

selskaberne USG-Danmark og Dansk Boligforsikring har ikke haft deres databaser beskyttet forsvarlig, så fremmede kunne få adgang til kundedata. 
foto: jan unger
Forsikrings- selskaberne USG-Danmark og Dansk Boligforsikring har ikke haft deres databaser beskyttet forsvarlig, så fremmede kunne få adgang til kundedata. foto: jan unger

Forsikringsselskaber giver adgang til personfølsomme oplysninger om deres kunder på nettet, så nysgerrige og it-kriminelle kan misbruge dem til blandt andet økonomisk kriminalitet. 

Ekstra Bladet kan i dag afsløre, at to forsikringsselskaber således ikke har opbevaret deres kunders data forsvarligt. Det ene er USG-Danmark, der har specialiseret sig i at forsikre diverse elektronik som iphones, computere og hårde hvidevarer.

Selskabet har ikke fået sikret deres database med kundeoplysninger ordentligt, så andre nemt kan få adgang til den på nettet.

Her ligger der data som navn, adresse, mobilnummer, forsikringsskaden og i nogle tilfælde brugernavn og password på den enhed, der er blevet anmeldt.

Her ses en skadesanmeldelse fra USG-Danmark, der ligger tilgængelig på nettet
Her ses en skadesanmeldelse fra USG-Danmark, der ligger tilgængelig på nettet
 

Og det er problematisk ifølge it-advokat Claes Christensen:

- Når man er dataansvarlig, har man pligt til at opretholde nogle tekniske standarder, der gør, at man sikrer de her data. Sådan som du beskriver, så har man i den grad ikke overholdt sine forpligtelser.

Se også: Kæmpe brøler: Ny TV2-serie lagt på nettet

Hos Datatilsynet påpeger man også, at virksomheder ifølge Persondataloven har et ansvar for at beskytte den type oplysninger.

- Det gælder også for email-adresser, telefonnumre og fysiske adresser, siger kontorchef i Datatilsynet Lena Andersen, som ikke ønsker at forholde sig til den konkrete sag med USG Danmark.

Hun fortæller dog, at Datatilsynet tidligere har kritiseret virksomheder, som er kommet til at udstille den type af oplysninger på internettet.

Fri Adgang - 4. okt. 2015 - kl. 12:17 Sådan jagter it-kriminelle dig - Se deres metoder

Åben for misbrug

Og USG er ikke alene. For nylig kom det frem, at Forsikringsselskabet Dansk Boligforsikring, der sidder på 40 procent af markedet for ejerskifteforsikringer herhjemme, også har haft en sikkerhedsbrist i deres database.

It-mediet Version2 kunne således fortælle, at når forsikringsselskabets kunder fik tilsendt et link til deres sag, så kan man med små justeringer i linkadressen også få adgang til andre kunders købsaftaler, der blandt andet indeholder CPR-numre på køber og vidner samt deres underskrifter.

Kommer et CPR-nummer i de forkerte hænder, kan en kriminel blandt andet misbruge det til at købe ting på nettet, oprette mobilabonnementer og kreditkort, optage lån, købe receptpligtig medicin og få adgang til testamenter og ægtepagter.

Se også: 150.000 ramt: Danskerne giver fri adgang til it-kriminelle

Og det er gør sikkerhedsbristen skærpende, siger it-advokat Claes Christensen:

- Offentliggørelse af CPR-numre er meget kritisabelt, og det er alvorligt, når et forsikringsselskab ligger de her oplysninger ud. Det en fortrolig oplysning, der skal holdes fortrolig. Det karambolerer med persondataloven, siger han.

Rådet for Digital Sikkerhed: - Selvfølgelig ikke i orden

Hos Rådet for Digital Sikkerhed kritiserer man, at USG-Danmark og Dansk Boligforsikring ikke har sikret kundernes oplysninger:

- Det er selvfølgelig ikke i orden. Det er en helt basis programmeringsfejl, som vi desværre rigtig tit ser, og selskaberne skal selvfølgelig stille nogle helt klare sikkerhedskrav til deres udviklere.

- Det er eksempelvis en rigtig god ide, når man har med personfølsomme oplysninger at gøre, at køre en penetrationstest, før man sætter det i drift. Den ville med det samme opdage det her, og så skal man overveje arkitekturen, så man separerer de data op, der skal være direkte adgang til på nettet, siger formand Rasmus Theede.

Nemt misbruges

Folk med skumle hensigter vil hurtigt kunne udvikle de to forsikringsselskabers sikkerhedshuller og hente data ud på kunder:

- Der findes nogle gratis værktøjer på nettet, som i forhold til denne her type fejl nemt vil kunne gå ind og udnytte de sårbarheder, der ligger. Derfor skal sikkerheden være i orden, og når vi har med personfølsomme oplysninger at gøre, skal virksomhederne naturligvis reagere med det samme, når de opdager det, siger Rasmus Theede.

Han mener også, at firmaerne har et løbende ansvar for at tjekke op på deres sikkerhed:

- Det er jo meget bedre, at det er firmaet eller myndighederne, der finder de her fejl først, og ikke folk der kan tænkes at ville misbruge de her data.

Bedre information

Rasmus Theede mener dog også, at samfundet bør blive bedre til at informere virksomhederne:

- Der skal gøres mere for at oplyse erhvervslivet og andre om sådanne fejl, og hvordan de kan undgås. For mange ved det simpelthen ikke.

Vis kommentarer

Skærm

Seneste i Nyheder
Mest læste i Nyheder
Hent flere
Forsiden lige nu
Plus anbefaler
Hent flere
Ved du noget? Tip Ekstra Bladet  -  E-mail 1224@eb.dk SMS til 1224 Tlf: 33111313
Har du en mening om Ekstra Bladet? Kom med i vores panel og del din mening med os
Nyhedsredaktør:Anders Zacho
Ansv. chefredaktør:Poul Madsen