Σουηδία: Με μια απλή αλλαγή ψηφίων στο url ο επισκέπτης μπορούσε να αποκτήσει πρόσβαση στα δεδομένα άλλων ασφαλισμένων
Τα κενά ασφαλείας της Trygg-Hansa επέτρεψαν την πρόσβαση σε δεδομένα 650.000 πελατών μέσω του διαδικτύου. Η σουηδική Αρχή Προστασίας Προσωπικών Δεδομένων (IMY) επέβαλε διοικητικό πρόστιμο ύψους 35 εκατομμυρίων SEK κατά της εταιρείας.
Μετά από πληροφορία, η IMY διεξήγαγε έρευνα στην ασφαλιστική εταιρεία Trygg-Hansa. Ο πληροφοριοδότης είχε λάβει μήνυμα ηλεκτρονικού ταχυδρομείου από την εταιρεία με έναν σύνδεσμο προς μια σελίδα ασφαλιστικών προσφορών. Στη σελίδα προσφορών υπήρχαν σύνδεσμοι με URL που μπορούσαν να πατηθούν και που οδηγούσαν σε έγγραφα με ασφαλιστικές πληροφορίες. Ωστόσο, ο πληροφοριοδότης παρατήρησε ότι ήταν δυνατή η πρόσβαση σε έγγραφα άλλων ασφαλισμένων, χωρίς κανένα login, απλώς με αντικατάσταση ορισμένων ψηφίων στον διαδικτυακό σύνδεσμο.
Τα έγγραφα στα οποία είχαν πρόσβαση μη εξουσιοδοτημένα άτομα περιείχαν σε ορισμένες περιπτώσεις ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων δεδομένων υγείας, τα οποία ήταν πολύ λεπτομερή, έτσι ώστε ήταν δυνατόν, για παράδειγμα, να διαπιστωθεί πώς προέκυψε ένα πρόβλημα υγείας ή ποιες ήταν οι λεπτομέρειες μιας κατάστασης υγείας.
Δυνατότητα πρόσβασης σε δεδομένα για περισσότερα από δύο χρόνια
Η έρευνα της IMY έδειξε ότι η πρόσβαση στα δεδομένα 650.000 πελατών υπήρξε δυνατή κατά το χρονικό διάστημα από τον Οκτώβριο του 2018 έως τον Φεβρουάριο του 2021. Εκτός από τα δεδομένα υγείας, τα δεδομένα πελατών περιελάμβαναν και άλλα δεδομένα, όπως οικονομικές πληροφορίες, στοιχεία επικοινωνίας, αριθμούς κοινωνικής ασφάλισης και ασφαλιστική συμμετοχή.
Στην απόφασή της, η IMY ανέφερε πως τα κενά ήταν τόσο θεμελιώδους φύσης, ώστε η Trygg-Hansa θα έπρεπε να είναι σε θέση να τα εντοπίσει και να τα διορθώσει ακόμη και πριν από την έναρξη λειτουργίας του πληροφοριακού συστήματος και σε κάθε περίπτωση κατά τη διάρκεια της μακράς περιόδου που το σύστημα χρησιμοποιήθηκε.
Η ΙΜΥ έκρινε πως η Trygg-Hansa δεν έλαβε τα κατάλληλα τεχνικά μέτρα για να διασφαλίσει ένα επίπεδο ασφάλειας κατάλληλο σε σχέση με τους κινδύνους. Ως εκ τούτου, η αρχή επέβαλε στην εταιρεία διοικητικό πρόστιμο ύψους 3 εκατομμυρίων ευρώ.
Από το δελτίο τύπου της σουηδικής αρχής