丹麥報稅網站軟體出錯,外泄1/5全國納稅人個人信息
科技
02-12
丹麥政府周二公告指出,其報稅網站因舊版軟體問題,將126萬公民個人信息不慎傳給了Google和Adobe的分析服務,超過該國總人口的1/5。
丹麥發展與簡化局(UFST)指出,丹麥提供給國民自助報稅的網站系統TastSelv Borger被內部發現軟體出錯,導致人們個人信息CPR碼當成網址的一部分,而二度傳給了外承包商,包括Google和Adobe。負責TastSelv Borger運維的IT外承包商DXC Technology(原HP服務部門和CSC整合而成)已經修正該錯誤。
丹麥的CPR碼為10碼數字,前6碼為生日,後4碼則為個人識別碼,包括可透露公民性別的數字。
丹麥政府指出,這二次烏龍數據外泄事件,第一次發生在2015年2月2日到2020年1月24日,波及126萬名丹麥公民。第二次則發生在今年1月29日到2月1日,受影響人數為1,330名。
DXC表示,這次問題出於舊版軟體問題,但和該公司運維的稅務局其他系統無關。根據DXC調查,由於數據未對外公開,且是以加密連接發送,因此理應不會有個人信息濫用的風險。此外,官方說,這批數據丹麥公民的薪資與稅務等敏感個人信息,也都沒有傳給未簽數據處理協議的外部IT廠商,而Google和Adobe也都已刪除了這些數據,他們之前也都未登錄訪問。
這是北歐近年最近一次大規模數據外泄。2015年瑞典政府的數百萬人們個人信息遭爆,可被委外存儲的IBM、NCR存放東歐且供部分員工訪問。2018年初挪威最大醫院計算機遭黑客入侵,致使近半數挪威公民醫療數據被外人訪問。
Security Affairs報道,2014年,CSC也曾發生類似問題,而導致丹麥90萬公民CPR碼外泄。
