Eksponerte kundedata gjennom nybegynnerfeil. Får 35 millioner i bot

Gjennom å bytte ut noen sifre i URL-en, kunne kunder av forsikringsselskapet åpne andre kunders dokumenter.

Problemet er så grunnleggende at Trygg-Hansa burde ha oppdaget det allerede før systemet ble innført, mener IMY. Her en av selskapets livbøyer i Gøteborg. Foto: Trygg-Hansa

Marianne Gjessing– Journalist

3. sep. 2023 - 15:00

650.000 kunder av det svenske forsikringsselskapet Trygg-Hansa har hatt sine personopplysninger åpent tilgjengelig på nett.

− Dokumentene som har vært tilgjengelige for uvedkomne inneholdt i visse tilfeller sensitive personopplysninger, blant annet opplysninger om helse med høyt detaljnivå, sier Evelin Palmér, jurist Integritetsskyddsmyndigheten (IMY), Sveriges svar på Datatilsynet i en pressemelding.

Nå gir tilsynet det svenske forsikringsselskapet en bot på 35 millioner svenske kroner.

Tipser kom inn på andres dokumenter

Det var en våken bruker av Trygg-Hansas nettløsning som tipset IMY om bruddet.

− Tipseren hadde fått en e-post fra selskapet med en lenke til en tilbudsside. Inne på siden var det lenker som gikk til dokumenter med forskingsinformasjon. Så oppdaget tipseren at det gikk an å komme inn på andre kunders dokumenter gjennom å bare endre noen få sifre i nettlenken, forklarer IMY.

Problemet er så grunnleggende at Trygg-Hansa burde ha oppdaget det allerede før systemet ble innført, mener IMY.

Problemet varte fra oktober 2018 til februar 2021, og eksponerte personnumre, økonomisk informasjon, kontaktinformasjon og helseopplysninger.