Ένα σφάλμα λογισμικού στο φορολογικό portal της κυβέρνησης της Δανίας εξέθεσε τους αριθμούς ταυτότητας 1,26 εκατομμυρίων Δανών πολιτών. Αυτός ο αριθμός αντιστοιχεί στο ένα πέμπτο του συνολικού πληθυσμού της χώρας.
Σύμφωνα με τα τοπικά μέσα ενημέρωσης, το σφάλμα ανακαλύφθηκε στα τέλη του Ιανουαρίου, όμως υπήρχε εδώ και πέντε χρόνια (μεταξύ 2 Φεβρουαρίου 2015 και 24 Ιανουαρίου 2020).
Το σφάλμα και η διαρροή των προσωπικών στοιχείων εντοπίστηκαν από την Υπηρεσία για την Ανάπτυξη και Απλούστευση της Δανίας (Udviklings-og Forenklingsstyrelsen ή UFST), κατά τη διάρκεια ενός ελέγχου.
Σύμφωνα με την UFST, το σφάλμα βρέθηκε στο TastSelv Borger, το επίσημο self-service portal που χρησιμοποιούν οι Δανοί πολίτες για να πληρώνουν τους φόρους τους online.
Πώς, όμως, εξέθεσε τους αριθμούς ταυτότητας των πολιτών;
Κάθε φορά που ένας χρήστης ενημέρωνε τα στοιχεία του λογαριασμού του, στην ενότητα των ρυθμίσεων του portal, ο αριθμός ταυτότητάς του τοποθετούνταν στη διεύθυνση URL.
Η διεύθυνση URL συλλέγεται από υπηρεσίες ανάλυσης που εκτελούνται στο site. Στη συγκεκριμένη περίπτωση από την Adobe και τη Google.
Σύμφωνα με την UFST, οι εταιρείες ήταν σε θέση να συλλέξουν τους αριθμούς ταυτότητας 1,2 εκατομμυρίων φορολογούμενων πολιτών.
Αυτοί οι αριθμοί είναι πολύ σημαντικοί στη Δανία. Χρησιμοποιούνται για το άνοιγμα τραπεζικών λογαριασμών, την απόκτηση τηλεφωνικών αριθμών και για πολλές άλλες βασικές δραστηριότητες.
Επίσης, αποκαλύπτουν και άλλα στοιχεία σχετικά με τον ιδιοκτήτη. Για παράδειγμα, αποτελούνται από δέκα ψηφία, εκ των οποίων τα πρώτα έξι είναι η ημερομηνία γέννησης του πολίτη. Επίσης, δείχνουν το φύλο του ιδιοκτήτη (αν το τελευταίο ψηφίο είναι μονός αριθμός, ο ιδιοκτήτης είναι άνδρας, ενώ αν είναι ζυγός, τότε ο ιδιοκτήτης είναι γυναίκα).
Ωστόσο, η υπηρεσία UFST καθησύχασε τους πολίτες σε ένα βαθμό, λέγοντας πως μόνο οι δύο εταιρείες μπορεί να έχουν συλλέξει τους αριθμούς ταυτότητας. Κανένας άλλος. Επομένως, δεν υπάρχει άμεσος κίνδυνος να χρησιμοποιηθούν οι αριθμοί για κάποια απάτη.
Από την άλλη μεριά, αρκετοί ειδικοί ασφαλείας της χώρας ζήτησαν να γίνει ευρύτερος έλεγχος του source code του portal της φορολογικής υπηρεσίας, καθώς φοβούνται ότι μπορεί να υπάρχουν και άλλα σφάλματα.
Η DXC (πρώην CSC), η εταιρεία λογισμικού που δημιούργησε το portal, δήλωσε ότι διόρθωσε το σφάλμα αμέσως μετά την αποκάλυψή του από τις αρχές.
Η Δανία είναι η τρίτη σκανδιναβική χώρα που αντιμετωπίζει ένα ζήτημα ασφαλείας σε μια από τις κυβερνητικές υπηρεσίες της. Το 2015, ευαίσθητα δεδομένα του Σουηδικού Οργανισμού Μεταφορών (STA) μεταφορτώθηκαν στο cloud και κάποιοι Σέρβοι IT επαγγελματίες κατάφεραν να αποκτήσουν πρόσβαση. Το 2018, hackers έκλεψαν ιατρικά στοιχεία που ανήκαν περίπου στο μισό πληθυσμό της Νορβηγίας.
