Ошибка ПО за пять лет привела к утечке данных 1,26 млн граждан Дании

image

Ошибка программного обеспечения, которое использовали на государственном налоговом портале Дании, сделала доступными персональные идентификационные номера 1,26 млн датских граждан или пятой части населения страны.

Ошибку удалось выявить и устранить только спустя пять лет. Она была обнаружена после проверки Датским агентством по развитию и упрощению (Udviklings-og Forenklingsstyrelsen или UFST). Как отметили в агентстве, ошибка произошла на TastSelv Borger, официальном портале самообслуживания датской налоговой администрации, куда датские граждане заходят, что регистрироваться и платить налоги онлайн. Каждый раз, когда пользователь обновлял данные учетной записи в разделе настроек портала, его номер CPR добавлялся в URL. URL же собирали аналитические службы Adobe и Google. Действия аналитиков в данном случае были непреднамеренными.

См. также: Пользуетесь Google Chrome? Значит Google собирает ваши данные через X-client-data

Номер CPR в Дании используется для открытия банковских счетов, присвоения телефонных номеров и многих других важных операций. При этом первые шесть цифр десятизначного номера представляют собой дату рождения гражданина. Кроме того, если последняя цифра CPR нечетная, то его владелец — мужчина, а если четная, то владелец — женщина.

В UFST призвали граждан успокоиться, так как данные, скорее всего, были собраны только двумя аналитическими компаниями, и непосредственной угрозы мошенничества для пострадавших не было. Однако некоторые местные эксперты по конфиденциальности также призвали к более широкой проверке исходного кода портала налогового агентства, опасаясь других явных ошибок.

DXC (ранее CSC), компания-разработчик ПО, которая создала портал самообслуживания, заявила, что исправила ошибку после того, как власти сообщили об этой проблеме.

См. также: Кейсы для применения средств анализа сетевых аномалий: обнаружение утечек

Стоит отметить, что Дания является третьим скандинавским государством, пострадавшим от утечки за последние несколько лет. Так, в 2015 году Шведское транспортное агентство (STA) разрешило загрузку нескольких конфиденциальных баз данных в облако и доступ к ним со стороны неподготовленных сербских ИТ-специалистов, а в 2018 году хакерская группа украла данные из сферы здравоохранения более половины населения Норвегии.

А в России на одном из специализированных ресурсов выставили базу данных 1,2 млн клиентов микрофинансовых организаций. Тестовый фрагмент базы сдержит около 800 записей, включая ФИО, номера телефонов, адреса электронной почты, даты рождения и паспортные данные россиян. Большинство людей из тестового фрагмента заявили, что являются клиентами компании «Быстроденьги». В этой же базе содержались данные клиентов таких компаний, как «Займер» «еКапуста», «Лайм» и «Микроклад».

© Habrahabr.ru