El portal fiscal danés comparte accidentalmente los números de identificación de los contribuyentes con los servicios de análisis de Google y Adobe.
Un error de software en el portal fiscal del gobierno de Dinamarca ha expuesto accidentalmente los números de identificación personal (CPR) de 1,26 millones de ciudadanos daneses, una quinta parte de la población total del país.
El error duró cinco años (entre el 2 de febrero de 2015 y el 24 de enero de 2020) antes de ser descubierto, informaron los medios daneses la semana pasada.
El error de software y la fuga posterior se descubrieron después de una auditoría realizada por la Agencia Danesa para el Desarrollo y la Simplificación (Udviklings-og Forenklingsstyrelsen o UFST).
Según la UFST, el error ocurrió en TastSelv Borger, el portal oficial de autoservicio de la administración tributaria danesa donde los ciudadanos daneses van a presentar y pagar impuestos en línea.
Funcionarios del gobierno dijeron que el portal contenía un error de software que cada vez que un usuario actualizaba los detalles de la cuenta en la sección de configuración del portal, su número de RCP se agregaba a la URL.
La URL sería recopilada por los servicios de análisis que se ejecutan en el sitio, en este caso, Adobe y Google.
Según el UFST, los detalles de más de 1,2 millones de contribuyentes daneses fueron expuestos por este error y los proveedores de análisis los recopilaron inadvertidamente.
Los números de RCP son importantes en Dinamarca. Son obligatorios para abrir cuentas bancarias, obtener números de teléfono y muchas otras operaciones básicas.
Los números de RCP también filtran detalles sobre un usuario. Consisten en diez dígitos, donde los primeros seis son la fecha de nacimiento de un ciudadano. También filtran detalles sobre el género del propietario (si el último dígito es impar, el propietario es hombre, si el último dígito es par, entonces el propietario es una mujer).
Sin embargo, a pesar de la fuga de datos bastante grande y siniestra, UFST, la agencia que descubrió la fuga, instó a los ciudadanos a calmarse, ya que los datos probablemente solo fueron recopilados por las dos compañías de análisis, y no hubo peligro inmediato de fraude para los afectados. .
Pero a pesar de la llamada a la calma, varios expertos locales en privacidad también han pedido una auditoría más amplia del código fuente del portal de la agencia tributaria, por temor a otros errores evidentes.
DXC (anteriormente CSC), la compañía de software que construyó el portal de autoservicio, dijo que solucionó el error después de que las autoridades informaron el problema.
Dinamarca es el tercer gobierno escandinavo en sufrir un incidente de seguridad en los últimos años. En 2015, la Agencia de Transporte de Suecia (STA) permitió que varias bases de datos confidenciales se cargaran en la nube y fueran accedidas por profesionales serbios de TI sin experiencia. En 2018, un grupo de hackers robó datos de atención médica para más de la mitad de la población de Noruega.
0 Comentarios