С налогового портала ушли «на сторону» сведения о каждом пятом датчанине

12 февраль, 2020 - 10:25

С налогового портала ушли «на сторону» сведения о каждом пятом датчанине

Программная ошибка в датском налоговом портале привела к раскрытию персональных идентификаторов (СPR) примерно пятой части населения этой страны. На протяжении пяти лет при обновлении пользователем портала данных учётной записи в разделе настроек, его номер CPR добавлялся к URL-адресу и мог собираться подключeнными к сайту аналитическими службами Google и Adobe.

Det Centrale Personregister (CPR) состоит из 10 цифр. Первые шесть из них это дата рождения, а остаточные четыре — идентификатор, причём последняя цифра чётная если пол женский и нечетная если мужской. CFR требуется для открытия банковских счётов, получения телефонного номера и ряда других базовых операций.

Обнаружен был программный баг в ходе аудита веб-сайта TastSelv Borger, на котором граждане страны могут самостоятельно оплачивать налоги онлайн. Датское агентство развития и упрощения (Udviklings-og ForenklingssTyrelsen, UFST), проводившее эту проверку, утверждает, что утечка персональных данных 1,26 млн граждан происходила с 2 февраля 2015 по 24 января 2020 гг.

Несмотря на огромные масштабы этой утечки, по мнению UFST она не представляет прямой угрозы злоупотреблений, так как данные не уходили дальше двух провайдеров аналитических услуг. Тем не менее, правозащитники настаивают на углублённой проверке исходного кода налогового портала.

Его разработчик, фирма DXC (ранее, CSC), заявила, что ошибка была исправлена сразу же после получения уведомления о ней от властей.

Дания — уже третья из скандинавских стран, ставших жертвами инцидентов с безопасностью за последние несколько лет. В 2015 г. сербские ИТ-эксперты нашли в публичном облаке конфиденциальные базы данных Шведского транспортного агентства (STA), а в 2018 г. группа хакеров взломала защиту сети здравоохранения HelseCert, похитив информацию о более, чем половине населения Норвегии.