Ny KMD-fejl gav adgang til andres lønsedler

Nyt, alvorligt sikkerhedshul i den digitale pladsanvisning, hvor CPR-numre tidligere har ligget frit tilgængeligt i årevis.

KMD, der driver en række kommunale selvbetjeningsløsninger, har haft endnu et alvorligt hul i IT-sikkerheden, opdagede en borger på Frederiksberg. Arkivfoto: KMD Fold sammen
Læs mere

Endnu et alvorligt sikkerhedshul er blevet fundet hos den danske IT-gigant KMD. Det var nemlig muligt at se andre folks lønsedler, når man loggede sig på den digitale pladsanvisning.

Det skriver Finans.dk på baggrund af en aktindsigt hos Digitaliseringsstyrelsen.

Sagen kommer frem kort efter en anden meget omtalt, hvor KMD har politianmeldt en mand, der opdagede, at der i årevis havde været fri adgang til andres CPR-numre i samme digitale pladsanvisning. KMD beskylder manden for hacking, efter at han indsendte sin dokumentation til Frederiksberg Kommune, hvor han bor.

Lukket allerede samme dag

Desuden slås KMD med både private og offentlige kunder, som er utilfredse med, at KMD ikke leverer IT-systemer til tiden. Der er derfor flere retssager undervejs mod IT-giganten, som også offentligt er blevet hængt til tørre af kommunerne, der er stærkt utilfredse med forsinkelserne af de nye systemer, fordi de i mellemtiden skal betale store, månedlige millionbeløb for at kunne fortsætte med KMDs gamle systemer, som de nye skal erstatte.

Den nye sag stammer fra april, kort før CPR-nummersagen kom frem. Efter at være logget ind på den digitale pladsanvisning, hvor man blandt andet kan søge institutionsplads til sit barn, kunne en borger på Frederiksberg se en skolelærers lønsedler og lærerens kommunikation med en skolesekretær i Københavns Kommune om fejl på lønsedlerne, skriver Finans.dk, og da borgeren loggede på den digitale pladsanvisning i Aarhus Kommune, havde han tilsvarende adgang til andres fortrolige oplysninger.

Han informerede straks efter Digitaliseringsstyrelsen, som satte en undersøgelse i gang. Senere samme dag bekræftede KMD, at sikkerhedshullet var blevet lukket, så ingen længere kunne se andres oplysninger.

Tilsyneladende ikke misbrugt

Ifølge KMDs kommunikationschef, Christoffer Hellmann, kunne kun en mindre gruppe mennesker tilgå andres oplysninger. KMD beklager dog fejlen og kan ikke se, at der er sket misbrug.

KMD, der har hovedsæde i Ballerup vest for København, var tidligere kommunalt ejet men blev i december 2012 købt af den amerikanske kapitalfond Advent og pensionskassen Sampension og har længe luret som en kommende børsnotering, men de mange møgsager har indtil videre udskudt en sådan.