I vad som ser ut att vara en ofrivillig exponering av personuppgifter har Enkla Elbolaget exponerat vissa kunders uppgifter på en webbserver som inte borde varit öppet tillgänglig. Webbsidan kunde så sent som på onsdagen nås utan lösenord, och den använde inte https.

Webbsidan är en slags portal där Enkla Elbolagets konkurrenter kan gå in och kontrollera de fullmakter som deras kunder lämnat till Enkla Elbolaget, och som ger Enkla Elbolaget fullmakt att ta över kunderna. Portalen ska vara ett slutet system mellan elbolagen.

Den sista siffran i url:en på den aktuella webbsidan är en så kallad ediel-kod som betecknar ett elbolag. Ediel-koder är offentliga och publiceras av Svenska Kraftnät. Genom att byta ut koden i slutet på url:en visades fullmakter för det konkurrerande elbolag som koden betecknar, i en lista på portalen. För varje kund visades personnummer, namn och adress, samt en pdf-fil med själva fullmakts­dokumentet och i förekommande fall en mp3-fil med inspelad muntlig fullmakt.

Skärmbild
På Svenska Kraftnäts Ediel-portal går det att se ediel-koderna för alla energibolag.

– Vi undersöker detta omgående och har stängt ner servern tills vidare. Vi kommer även att göra en anmälan till Datainspektionen för aktuell incident, säger Henrik Fjellstedt, it-chef på Enkla Elbolaget.

– Det som låg på servern var obesvarade kundfullmakter på blivande kunder som vi skickat till våra konkurrenter för godkännande. Observera att när fullmakterna besvarats så finns de inte tillgängliga längre. Innan servern stängdes ner var det totalt 53 fullmakter som var tillgängliga, och de låg fördelade på 15 olika koder.

Vad rör det sig om för webbsida eller portal, alltså vad har den för funktion för er och för kunderna?

– När nya kunder kontaktar oss eller vi kontaktar dem får vi i vissa fall en fullmakt av kunden att hjälpa dem bli kund hos oss. Fullmakten görs då med ljudinspelning där kund väljer att vi får hjälpa dem med processen. Ljudfilerna laddas då in i ett system hos oss och nuvarande leverantör får då den aktuella länken och kan då gå in och lyssna på fullmakten och godkänna att kunden byter leverantör förutsatt att allt ser okej ut. Inga ljudfiler ligger fysiskt på den aktuella servern, utan de hämtas från interna system när aktuellt anrop görs.

Hur länge har personuppgifterna varit exponerade?

– Utredning pågår och vi får återkomma när vi har de uppgifterna. Som sagt har det varit automatik i att besvarade fullmakter inte längre är synliga i det externa systemet efter att energibolaget hanterat fullmakten.

Hur många personuppgifter kan det röra sig om?

– Utredning pågår och vi får återkomma när vi har de uppgifterna.

Kan ni se några tecken på att personuppgifter läckt ut?

– Nej, inga sådana indikationer. Då aktuell länk är relativt komplex och endast används i kontakt med energibolag anses risken som liten att någon obehörig förutom konkurrerande energibolag kommit över personuppgifterna. Du måste även känna till aktuellt ediel-id och ha ”turen” att hitta ett id som har aktiva fullmakter. Vi utgår såklart från att ansvariga personer på energibolagen inte sprider informationen, då det vore både oetiskt och bedrägligt. Vi får avvakta resultatet av vår interna utredning också.

Vad är den tekniska orsaken till att personuppgifterna exponerats?

– Den mänskliga faktorn är orsaken, och uppgifter skulle självklart skyddats med kryptering och individuella inloggningar för respektive energibolag.

Hur kommer ni gå vidare med detta, utöver anmälan till Datainspektionen?

– Nuvarande lösning är stängd och kommer inte tas i drift igen. Intern utredning pågår där vi undersöker loggar för att se vilka som öppnat fullmakterna. Vi ser även över interna rutiner så att liknande incidenter inte ska hända igen.

Kommer ni att underrätta era kunder?

– Vi behöver avvakta resultatet på vår interna utredning först för att ta ställning till det.

Kan ni garantera att denna exponering är stängd nu?

– Ja.

Enkla Elbolaget är en del av Dalakraft och ingår i samma koncern som Jämtkraft och Scandem.

Läs också:
2,7 miljoner inspelade samtal till 1177 Vårdguiden helt oskyddade på internet
Sjuktransporter i 1177-läckan – hundratusentals känsliga samtal spelades in