Ошибка ПО за пять лет привела к утечке данных 1,26 млн граждан Дании. Это около ⅕ населения

Ошибка программного обеспечения, которое использовали на государственном налоговом портале Дании, сделала доступными персональные идентификационные номера 1,26 млн датских граждан ^[1] или пятой части населения страны.

Ошибку удалось выявить и устранить только спустя пять лет. Она была обнаружена после проверки Датским агентством по развитию и упрощению (Udviklings-og Forenklingsstyrelsen или UFST). Как отметили в агентстве, ошибка произошла на TastSelv Borger, официальном портале самообслуживания датской налоговой администрации, куда датские граждане заходят, чтобы регистрироваться и платить налоги онлайн. Каждый раз, когда пользователь обновлял данные учетной записи в разделе настроек портала, его номер CPR добавлялся в URL. URL же собирали аналитические службы Adobe и Google. Действия аналитиков в данном случае были непреднамеренными.

См. также: Пользуетесь Google Chrome? Значит Google собирает ваши данные через X-client-data ^[2]

Номер CPR в Дании используется для открытия банковских счетов, присвоения телефонных номеров и многих других важных операций. При этом первые шесть цифр десятизначного номера представляют собой дату рождения гражданина. Кроме того, если последняя цифра CPR нечетная, то его владелец — мужчина, а если четная, то владелец — женщина.

В UFST призвали граждан успокоиться, так как данные, скорее всего, были собраны только двумя аналитическими компаниями, и непосредственной угрозы мошенничества для пострадавших не было. Однако некоторые местные эксперты по конфиденциальности также призвали к более широкой проверке исходного кода портала налогового агентства, опасаясь других явных ошибок.

DXC (ранее CSC), компания-разработчик ПО, которая создала портал самообслуживания, заявила, что исправила ошибку после того, как власти сообщили об этой проблеме.

См. также: Кейсы для применения средств анализа сетевых аномалий: обнаружение утечек ^[3]

Стоит отметить, что Дания является третьим скандинавским государством, пострадавшим от утечки за последние несколько лет. Так, в 2015 году Шведское транспортное агентство (STA) разрешило загрузку нескольких конфиденциальных баз данных в облако и доступ к ним со стороны неподготовленных сербских ИТ-специалистов, а в 2018 году хакерская группа украла данные из сферы здравоохранения более половины населения Норвегии.

А в России на одном из специализированных ресурсов выставили базу данных 1,2 млн клиентов микрофинансовых организаций ^[4]. Тестовый фрагмент базы сдержит около 800 записей, включая ФИО, номера телефонов, адреса электронной почты, даты рождения и паспортные данные россиян. Большинство людей из тестового фрагмента заявили, что являются клиентами компании «Быстроденьги». В этой же базе содержались данные клиентов таких компаний, как «Займер» «еКапуста», «Лайм» и «Микроклад».

Автор: maybe_elf

Источник ^[5]