Error de software expone los números de identificación de 1,26 millones de ciudadanos daneses

bandera de Dinamarca

Imagen: David Dvořáček

Un error de software en el portal de impuestos del gobierno de Dinamarca expuso accidentalmente los números de identificación personal (CPR) de 1,26 millones de ciudadanos daneses, una quinta parte de la población total del país.

El error duró cinco años (entre el 2 de febrero de 2015 y el 24 de enero de 2020) antes de que se descubriera, informaron los medios daneses la semana pasada.

El error de software y la posterior filtración se descubrieron luego de una auditoría realizada por la Agencia Danesa para el Desarrollo y la Simplificación (Udviklings-og Forenklingsstyrelsen, o UFST).

Según la UFST, el error ocurrió en TastSelv Borger, el portal de autoservicio oficial de la administración tributaria danesa donde los ciudadanos daneses acuden para presentar y pagar impuestos en línea.

Los funcionarios del gobierno dijeron que el portal contenía un error de software que cada vez que un usuario actualizaba los detalles de la cuenta en la sección de configuración del portal, su número de CPR se agregaba a la URL.

Luego, la URL sería recopilada por los servicios de análisis que se ejecutan en el sitio, en este caso, Adobe y Google.

Según la UFST, los detalles de más de 1,2 millones de contribuyentes daneses quedaron expuestos por este error y los proveedores de análisis recopilaron inadvertidamente.

Los números de CPR son importantes en Dinamarca. Son obligatorios para abrir cuentas bancarias, obtener números de teléfono y muchas otras operaciones básicas.

Los números de CPR también filtran detalles sobre un usuario. Constan de diez dígitos, donde los primeros seis son la fecha de nacimiento de un ciudadano. También filtran detalles sobre el sexo del propietario (si el último dígito es impar, el propietario es hombre, si el último dígito es par, entonces el propietario es mujer).

Sin embargo, a pesar de la fuga de datos bastante grande y siniestra, la UFST, la agencia que descubrió la fuga, instó a los ciudadanos a la calma, ya que lo más probable es que los datos hayan sido recopilados únicamente por las dos empresas de análisis, y no había peligro inmediato de fraude para los afectados. .

Pero a pesar del llamado a la calma, varios expertos locales en privacidad también pidieron una auditoría más amplia del código fuente del portal de la agencia tributaria, por temor a otros errores flagrantes.

DXC (anteriormente CSC), la compañía de software que creó el portal de autoservicio, dijo que solucionó el error después de que las autoridades informaran sobre el problema.

Dinamarca es el tercer gobierno escandinavo en sufrir un incidente de seguridad en los últimos años. En 2015, la Agencia Sueca de Transporte (STA) permitió que varias bases de datos confidenciales se cargaran en la nube y fueran accedidas por profesionales de TI serbios no investigados. En 2018, un grupo de piratas informáticos robó datos de atención médica de más de la mitad de la población de Noruega.

Fugas de datos: las fuentes más comunes

Deja un comentario