丹麦政府税务网站软件错误暴露超126万公民身份信息

丹麦政府税务门户网站上出现了一个软件错误，不慎泄露了126万丹麦公民（占总人口的五分之一）的个人可识别号码 (CPR)。

上周，丹麦媒体报道称，该错误已存在5年的时间（2015年2月2日至2020年1月24日之间）。丹麦开发和简化局(UFST) 开展审计工作后发现了该软件错误以及后续的泄露事件。

UFST 表示，该错误发生在丹麦税务管理局官方自服务门户网站 TastSelv Borger 上，该门户网站供丹麦公民提交并在线交税。

政府官员表示该门户网站中包含一个软件 bug，每当用户更新网站设置部分的账户详情时，URL 中就会增加其 CPR 号码。之后该 URL 由运行在站点上的分析服务收集，在本案例中为 Adobe 和谷歌公司。UFST 表示，120多万丹麦纳税人的详情因此遭暴露且不可避免地被该分析提供商收集。

在丹麦，CPR 号码发挥着重要作用，开设银行账户、获取电话号码以及其它基本操作等等均必须提供该号码。CPR 号码还泄露了由10位数字组成的用户详情，其中前6个数字是公民出生日期，同时还泄露关于用户的性别详情（如最后数字是奇数，则用户为男性，如果最后数字是偶数，则用户为女性）。

然而，尽管数据泄露的情况规模相当大而且不详，但发现该泄露事件的 UFST 则督促公民保持冷静，因为数据极有可能仅由两家分析公司收集，因此并不存在立即遭受欺诈的风险。但尽管如此，由于担心出现其它重大错误，多名本地隐私专家呼吁对税务机构门户的源代码等进行更广范围的审计。

构建了该自主服务门户网站的软件公司 DXC （即此前的 CSC）表示已经在当局报告该问题后修复了该问题。

丹麦是近几年来遭受安全事件的第三个斯堪的纳维亚半岛政府。2015年，瑞典运输局 (STA) 允许将多个敏感数据库上传到云中并由未经审查的塞尔维亚 IT 专业人员访问。2018年，某黑客组织窃取了挪威一半以上人口的医疗保健数据。

原文链接

https://www.zdnet.com/article/software-error-exposes-the-id-numbers-for-1-26-million-danish-citizens/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。