It-kæmpe i ny brøler: Borgere havde adgang til andres lønsedler

I samarbejde med tv2.dk

Et hul i et af KMD's systemer gjorde det muligt for borgere at se lønsedler på andre borgere.

Landets største it-selskab, KMD, har i al ubemærkethed lukket et hul, der gjorde det muligt for borgere at se andre borgeres personlige forhold, heriblandt lønsedler.

Det skriver Finans på baggrund af en aktindsigt, der blev sendt til Digitaliseringsstyrelsen, efter at det i juni kom frem, at en borger var blevet politianmeldt af KMD for at finde en sikkerhedsbrist i it-systemet Digital Pladshenvisning.

Hej. Når jeg logger på Digital Pladsanvisning, kan jeg se andres lønsedler, hvilket ikke burde lade sig gøre.

Borger til Frederiksberg Kommune

Aktindsigten viser, at en borger fra Frederiksberg den 21. april i år gjorde kommunen opmærksom på et alvorligt problem.

- Hej. Når jeg logger på Digital Pladsanvisning, kan jeg se andres lønsedler, hvilket ikke burde lade sig gøre, skrev borgeren, der loggede på via Digital Pladshenvisning i Frederiksberg Kommune.

Ifølge Finans gjorde hullet det også muligt at søge i borgeres email-korrespondancer med kommunen og andre personlige oplysninger.

Personen kunne blandt andet se en skolelærers lønsedler og kommunikation med kommunen om fejl på lønsedlerne. Ifølge Finans loggede borgeren herefter på Digital Pladshenvisning i Aarhus Kommune, hvor der også var adgang til andre borgeres fortrolige oplysninger. 

Læs også Fandt hul i sikkerheden hos it-kæmpe - nu er han politianmeldt

I et svar til Finans betegner KMD fejlen som "beklagelig" og tilføjer, at selskabet ikke har viden om misbrug.

- Det er vores vurdering, at borgerne generelt kan have tillid til, at vi opbevarer deres oplysninger sikkert. Man kan aldrig garantere, at sårbarheder ikke forekommer i it-systemer, men vi gør naturligvis alt, hvad vi kan, for at forhindre det, siger kommunikationschef Christoffer Hellmann.

Afsløringen af hullet i it-systemet Digital Pladshenvisning fra KMD, som 80 kommuner har brugt i 12 år, følger i kølvandet på afsløringen af, at Digital Pladshenvisning også kunne fungere som en slags CPR-søgemaskine.

Det blev opdaget af it-konsulenten Esben Warming, der gjorde kommunen opmærksom på problemet. Det har foreløbig kostet ham en sigtelse, fordi KMD politianmeldte ham for hacking, da han havde lavet et autoscript i søgefeltet og derigennem søgt på forskellige CPR-numre.

Ifølge Esben Warming selv gjorde han det for at dokumentere en brist i systemet. 

Læs også Rasende Jan E. Jørgensen: Min Facebook er overtaget af "møgsvin"

Møgsager på stribe

Nyheden om bristen i Digital Pladshenvisning, der er blevet lukket, følger efter en række dårlige sager for KMD, der er blevet stævnet af flere nuværende og tidligere kunder det forgangne år.

Tidligere i år rejste ATP en voldgiftssag med et krav på næsten 900 millioner kroner på grund af voldsomme forsinkelser af et nyt system til udbetaling af folke- og førtidspension. Sagen er opsigtsvækkende, fordi KMD scorer en formue på forsinkelserne, da selskabet tjener meget mere på de gamle systemer, der skal udfases, end de nye systemer, de skal levere.

Sideløbende med det store opgør med ATP har KMD indgået et stort forlig med de tidligere ejere i kommunerne, der også omhandler store forsinkelser. 

Læs også "Ren chikane": Over 100 hackerangreb mod Københavns Kommune

Endelig er der et stort slagsmål med Skat, der har stævnet KMD for 692 millioner kroner på grund af fejl i inddrivelsessystemet EFI.

Dertil kommer mindre tvister, blandt andet med Region Syddanmark, der tidligere i år fyrede KMD, og a-kassen FTFa, der for nylig stævnede selskabet for 85 millioner kroner.

Samlet set er KMD mødt med krav på omkring 1,5 milliarder kroner fra vrede kunder. Et beløb, it-selskabet, der er ejet af kapitalfonden Advent fra USA og pensionsselskabet Sampension, ikke kan betale, ifølge revisor Alfred Grinderslev.