"Ondsindede aktører" har potentielt kunnet få adgang til kunders oplysninger i Hovedstadsområdets Forsyningsselskab Hofor.

Sådan lyder det i et brev sendt fra forsyningsselskabet til kunder.

 Ritzau er i besiddelse af brevet.

Sårbarheden består i, at det potentielt har været muligt at tilgå andre kunders oplysninger ved at ændre på talkombinationer i 'kundenummer og BS-kundenummer' i forbindelse med login.

- Det kan således ikke udelukkes, at fx andre kunder eller ondsindede aktører potentielt kan have fået adgang til dine kundeoplysninger, skriver Hofor.

De oplysninger, som potentielt har kunnet tilgås, er navn, adresse, mail, fødselsdato, telefonnummer, faktura og forbrugsdata.

- Hverken dit CPR-nummer, bankoplysninger eller andre former for kreditkort- eller betalingsdata har kunnet tilgås, skriver forsyningsselskabet.

Ritzau har rakt ud til Hofor for at få svar på, hvor længe andre har kunnet tilgå kundeoplysninger, og om der er konstateret aktivitet fra "ondsindede aktører".

Problemet blev opdaget under en "intern gennemgang" 30. marts.

- Hofor kan ikke med sikkerhed sige, hvornår den potentielle sårbarhed er opstået. Den pågældende login-løsning har været i drift siden 2014, lyder det.

Hofor leverer vand, varme, bygas, fjernkøling og håndterer spildevand for mere end en million kunder.

Hvis en "ondsindet person" har fået adgang til kundeoplysninger, vil oplysningerne blandt andet kunne benyttes til at sende falske mails, der kan se ud som om, de kommer fra Hofor.

Derfor advarer forsyningsselskabet i brevet om mails fra udefrakommende med ønske om at komme i besiddelse af kortoplysninger og lignende.

Hofor har valgt at lukke for login til Tastselv Service med kundenummer og BS-kundenummer, mens man foretager den "nødvendige sikkerhedsopdatering".

Fra midten af maj forventer Hofor at udvide loginprocessen med en ekstra sikkerhedskontrol, hvis man ikke bruger Mitid, lyder det.