Det odenseanske softwarefirma Compusoft har lukket et sikkerhedshul i et bookingsystem, der anvendes af omkring halvdelen af danske vandrerhjem og campingpladser.
Det skete, efter at Datatilsynet torsdag gik ind i sagen, fortæller it-chef hos Datatilsynet Ib Alfred Larsen.
"De lukkede faktisk hullet med det samme, altså om eftermiddagen," siger Ib Alfred Larsen.
Fejlen betød, at det var muligt for kunder at se blandt andet hinandens navn, adresse og telefonnummer. Årsagen var, at kunderne kun skulle taste et kundenummer ind i systemet, i stedet for både et bookingnummer og et kundenummer.
Banal, men sjælden fejl
Selv om der ifølge Ib Alfred Larsen er tale om en banal fejl, er den alligevel sjælden. Han vurderer, at den dukker op hvert andet eller tredje år.
Hos Compusoft fortæller direktør Thomas Traberg, at problemet ikke skyldes bookingsystemet, men at en af kunderne havde benyttet et direkte link til onlinebetalingen.
Det betød, at gæster, som skulle betale for en overnatning, kunne nøjes med at indtaste et kundenummer. Derfor var problemet let at løse, efter at Datatilsynet henvendte sig, forklarer direktøren.
"Den valgfrihed tog vi fra dem, da vi blev opmærksomme på, at de gjorde det sådan. Normalt vil vi gerne have, at de både bruger kundenummer og bookingnummer som nøgler på deres betalingsside," siger Thomas Traberg.
Ifølge direktøren er problemet knyttet til en enkelt ud af flere hundrede brugere af bookingsystemet. Men fordi andre har haft samme mulighed for at nøjes med en enkelt nøgle, valgte firmaet at lukke muligheden helt ved at rulle en ændring ud.
"For en bruger, der ikke tænker længere, er det jo supernemt for kunden kun at tænke på et nummer, når han skal logge sig ind. Det er bare ikke særlig safe," siger Thomas Traberg.
Mindre alvorlig fejl
Ifølge direktøren har kunder aktivt skullet ændre på et kundenummer, for at kunne se personlige oplysninger om andre brugere.
Hos datatilsynet fortæller Ib Alfred Larsen, at den hurtige lukning af sikkerhedshullet betyder, at Datatilsynet nu lukker sagen.
Samtidig betragtes sagen som mindre alvorlig på grund af karakteren af de personoplysninger, det var muligt at få adgang til.
