Från mitten av maj har det funnits tjänster på Telenors webbplats där användarna ombetts logga in via Skatteverket med sin e-legitimation. Men det har samtidigt inneburit att Telenors underleverantör Identitrade via sin tjänst Identiway fått tillgång till all den information som finns om dem på Skatteverkets Mina Sidor – hemadress, årsinkomst och liknande.
I början av juni upptäckte Finansiell ID-teknik, som äger Bank-ID, det och larmade Skatteverket.
– Den här typen av okontrollerad andrahandsinloggning via privata webbplatser är inte tillåten och vi vill varna för det, säger Pär Rylander, säkerhetschef på Skatteverket.
– Vi vidtog åtgärder omedelbart. Så när vi nu upptäcker att någon försöker logga in via ett företag så blockeras det och användaren får ett felmeddelande.
Skatteverket har också anmält händelsen till Datainspektionen, Post- och Telestyrelsen och Myndigheten för samhällsskydd och beredskap.
Läs också: En månad med GDPR – nu forsar klagomålen in till Datainspektionen
En anledning till att företag konstruerar den här typen av inloggning med e-legitimation via Skatteverket kan vara att de vill verifiera att personen är den som den utger sig för enligt Pär Rylander.
– Men jag vill, återigen, trycka på att det inte är tillåtet.
Skatteverket utreder fortsatt händelsen men nu ligger huvudfokuset på företeelsen i sig.
– Vi vill möta morgondagens hot så tidigt som möjligt så vi är inriktade på att arbeta proaktivt. Och vi är måna om att gå ut med information om detta, säger Pär Rylander.
