丹麦政府周二公告指出,其报税网站因旧版软件问题,将126万公民个人信息不慎传给了Google和Adobe的分析服务,超过该国总人口的1/5。
丹麦发展与简化局(UFST)指出,丹麦提供给国民自助报税的网站系统TastSelv Borger被内部发现软件出错,导致人们个人信息CPR码当成网址的一部分,而二度传给了外承包商,包括Google和Adobe。负责TastSelv Borger运维的IT外承包商DXC Technology(原HP服务部门和CSC整合而成)已经修正该错误。
丹麦的CPR码为10码数字,前6码为生日,后4码则为个人识别码,包括可透露公民性别的数字。
丹麦政府指出,这二次乌龙数据外泄事件,第一次发生在2015年2月2日到2020年1月24日,波及126万名丹麦公民。第二次则发生在今年1月29日到2月1日,受影响人数为1,330名。
DXC表示,这次问题出于旧版软件问题,但和该公司运维的税务局其他系统无关。根据DXC调查,由于数据未对外公开,且是以加密连接发送,因此理应不会有个人信息滥用的风险。此外,官方说,这批数据丹麦公民的薪资与税务等敏感个人信息,也都没有传给未签数据处理协议的外部IT厂商,而Google和Adobe也都已删除了这些数据,他们之前也都未登录访问。
这是北欧近年最近一次大规模数据外泄。2015年瑞典政府的数百万人们个人信息遭爆,可被委外存储的IBM、NCR存放东欧且供部分员工访问。2018年初挪威最大医院计算机遭黑客入侵,致使近半数挪威公民医疗数据被外人访问。
Security Affairs报道,2014年,CSC也曾发生类似问题,而导致丹麦90万公民CPR码外泄。