En fejl i den offentlige tastselv-service har sendt over en million danske cpr-numre ud til de amerikanske firmaer Google og Adobe.
Det har Udviklings- og Forenklingsstyrelsen opdaget ved et tilsyn af TastSelv Borger, som varetages af den amerikanske it-udvikler DXC Technology, som tidligere hed CSC.
Fejlen har stået på i næsten fem år, inden den er blevet opdaget.
- Vi tager denne slags sager meget alvorligt. Og vi skal naturligvis kunne være sikre på, at vores leverandører håndterer alle data efter gældende lov og indenfor de rammer, der er aftalt med dem.
Det er dog ikke styrelsens vurdering, at borgernes oplysninger er blevet misbrugt, blandt andet fordi data ifølge styrelsen var krypteret. Styrelsen afviser samtidig, at Google og Adobe har kunnet se cpr-numrene.
Det bekræfter Google Danmark i et skriftligt svar til DR:
- Google Hosted Libraries designet til at fjerne samtlige oplysninger til at identificere brugere inden logning. Således bliver der ikke delt nogen brugerinformationer med Google i denne proces.
Men Peter Kruse, sikkerhedsekspert fra CSIS, føler sig ikke overbevist om, at data har været sikret ordentligt:
- Det data, der er modtaget af Google, er ukrypteret. Google har kunnet læse data i ukrypteret form, vurderer han.
- Google har haft adgang på cpr-numre på 1,2 millioner danskere. Data har kunnet blive lagret og læst hos Google, siger Peter Kruse.
Udviklings- og Forenklingsstyrelsen understreger fredag aften overfor DR Nyheder, at danskerne ifølge styrelsens vurdering ikke skal være bekymrede. Udviklings- og Forenklingsstyrelsen er nemlig af den overbevisning, at cpr-numrene har været krypteret.
En fejl i Tastselv
Konkret er fejlen sket ved, at borgerne er logget på Tastselv Borger og har klikket 'Ret kontaktoplysninger'.
Når de har rettet i deres oplysninger, har en softwarefejl betydet, at cpr-nummeret er blevet en del af en web-adresse, som blev sendt til Google og Adobe. Det fremgår af en redegørelse til Skatteudvalget.
DXC ønsker ikke at svare på DR Nyheders spørgsmål, men oplyser, at fejlen nu er rettet:
- Vi har sammen med Udviklings- og Forenklingsstyrelsen afhjulpet potentielle sårbarheder. På baggrund af vores umiddelbare gennemgang har vi på nuværende tidspunkt ingen grund til at mene, at data er blevet kompromitteret. Vi fortsætter med at undersøge sagen i tæt samarbejde med Udviklings- og Forenklingsstyrelsen, siger DXC i en udtalelse.
'Nærved katastrofalt'
Det er ikke første gang, DXC er involveret i en sag om lækage af cpr-numre. Da selskabet i 2014 hed CSC blev 900.000 cpr-numre lækket ved en fejl.
Derfor er sagen ekstra alvorlig, mener Peter Kruse:
- Det virker som om, at man (DXC, red.) ikke har fået ryddet op, og at der stadig er en række lig i skabet, man skal have kigget på. Det her er designfejl af format, og det er nærved katastrofalt, vil jeg sige.
Udviklings- og Forenklingsstyrelsen har nu anmodet Kammeradvokaten om at undersøge, om staten kan rejse et erstatningskrav mod DXC Technology.
- Vi har anmodet Kammeradvokaten om at vurdere, hvilke juridiske skridt sagen giver anledning til over for leverandøren, siger direktør i Udviklings- og Forenklingsstyrelsen Andreas Berggreen i en pressemeddelelse.
Rettelse kl. 18.50: Tilføjet skriftligt citat fra Google Danmark