En sikkerhedsekspert kritiserer ejendomsmæglerkæden EDC, hvor flere kunder har fået private oplysninger lækket på nettet.

I alt er knap 100.000 CPR-numre tilhørende EDC’s kunder blevet lagt tilgængelig på det såkaldte mørke internet af russiske hackere, der angreb kæden den 1. november.

Det samme er omkring 1300 personers pas, kørekort og sygesikringsbeviser samt oplysninger som telefonnumre og adresser.

Det er et et af de »mest alvorlige« angreb i nyere tid, siger ekspert i cybersikkerhed og grundlægger af Center for Cybersikkerhed i Forsvarets Efterretningstjeneste, John Michael Foley.

»Det er særdeles sensitive oplysninger, der nu florerer på det mørke net, som kan bruges på alle mulige måder.«

Bagmænd på nettet kan bruge fortrolige oplysninger som CPR-numre sammen med eksempelvis adresser og telefonnumre til at begå svindel, som kan have alvorlige konsekvenser, siger han.

»Har man en adresse, man kan koble med ting som CPR-nummer og kørekortnummer, kan man for eksempel stjæle folks identitet eller narre dem til at give oplysninger, der gør det muligt at optage lån i deres navn.«

Svindelnumre kan ifølge Foley blive »meget troværdige«, hvis bagmændene ligger inde med fortrolige oplysninger.

Lækket opstod, efter EDC nægtede at betale hackerne en løsesum på 41 millioner kroner.

Ifølge EDC er der for de flestes vedkommende tale om frigivelse af kontaktoplysninger, der i forvejen kan findes på for eksempel Krak.

»Det er ikke noget, jeg ville bekymre mig om,« udtaler kædens informationschef, Jan Nordmann, til DR og tilføjer, at hans egne oplysninger også er blevet frigivet, og at han ikke bekymrer sig om det.

Den reaktion tilfredsstiller dog ikke sikkerhedseksperten. Han mener ikke, EDC håndterer sagen tilstrækkeligt.

»De bagatelliserer problemet og nedtoner faren i det, der er sket. Det tjener ikke dem, og det tjener ikke kunderne. Det er på ingen måde i orden.«

»EDC skriver, at de har prøvet at rådgive de berørte kunder, som de er bekendt med, men den rådgivning, som de har givet - som jeg læser det i pressen - synes jeg ikke har været tilstrækkeligt. Jeg synes ikke, de påtager sig det ansvar, de har.«

EDC's informationschef bemærker i et skriftligt svar til B.T., at EDC har underretningspligt over for Datatilsynet og de berørte.

»Vi har sendt mails til alle, vi havde kontaktoplysninger på – ca. 700.000 kunder. Vi har sendt pressemeddelelser ud for at sikre, at vi nåede alle. Vi har lagt informationerne op på edc.dk, der er et af Danmarks største sites målt på trafik. Vi har i henvendelserne oplyst, hvordan den enkelte kan sikre sig. Det er simpelthen ikke korrekt, at vi ikke har underrettet tilstrækkeligt,« skriver Jan Nordmann.

Han bemærker videre, at data som navn, adresse, telefon og e-mail af Datatilsynet kategoriseres som “ikke-følsomme” oplysninger, og at CPR-numre befinder sig i en gråzone.

»Jeg er ikke bekendt med nogen steder, hvor man kan optage lån uden MitID,« bemærker han samtidig og stiller sig dermed kritisk over for sikkerhedsekspertens pointe om, at de lækkede oplysninger kan bruges til netop det.

Hvad angår selve lækket, mener Foley ikke, at EDC har været godt nok beskyttet, når det kunne finde sted.

»Det er EDC's ansvar, at de oplysninger ikke bliver lækket. De kunne have sikret sig bedre ved at øve sig på situationer med læk, og de kunne have haft beredskabsplaner på plads med firmaer, der hjælper med sikkerhed.«

»De har ikke haft den tilstrækkelige modenhed eller kompetencer,« mener han.

Men det kalder Nordmann en påstand i sin mail:

»Vi havde et højt sikkerhedsniveau, vi har i årevis kørt rutiner for alle medarbejdere med genkendelse af forsøg på svindel, vi har hele tiden haft beredskabsplaner og ekstern konsulentbistand fra det særdeles velrenommerede CSIS. Hacket blev opdaget kl. 03:35 – kl. 06:00 var vi plads med egne driftsfolk, eksterne sikkerhedsfolk, advokater mv. Det er simpelthen ukorrekt, hvad Foley siger.«

Ifølge EDC fik hackerne adgang til en backup-fil, der var oprettet ved en menneskelig fejl.

EDC's informationschef siger til DR, at man nu har styrket sikkerheden i firmaet for at være bedre forberedt ved lignende angreb i fremtiden.

»Vores sikkerhedsniveau var højt før, det er ekstremt højt nu.«

EDC bemærker, at man “hele tiden” har “været i dialog med hackergruppen”, der står bag lækket.

»Vi har fra dag ét brugt professionelle gidselforhandlere til at varetage den del,« bemærker Nordmann.