Unionen, en av landets största fackföreningar med 650 000 medlemmar, tillhandahåller en administrationssida för lokala fackklubbar på https://profil.unionen.se. Här kan lokala fackklubbar administrera sina klubbar och lokala medlemmar. Alla medlemmar i Unionen, alltså 650 000 personer har tillgång till administrationssidan genom att gå direkt till url:ren och logga in med Bankid.

Computer Sweden har bekräftat tillgången till sidan i fyra oberoende fall med Unionen-medlemmar varav tre inte är förtroendevalda eller har någon klubb att administrera. Vi har inte kunnat navigera till administrationssidan från den vanliga adressen unionen.se där medlemmarna normal loggar in, utan ”hacket” verkar kräva att en medlem navigerar direkt till administrationssidan.

Väl inloggad är det enkelt, om än inte helt uppenbart, att öppna en katalog med profilbilder på alla dem som frivilligt valt att lägga upp en profilbild. Typiska fall är, enligt Unionens cio Jonas Broman, förtroendevalda som valt att lägga upp en profilbild för att presentera sig själva för medlemmarna på sin arbetsplats.

Uppe till höger på administrations sidan finns en kugghjulsikon som öppnar en meny för inställningar. Den som väljer Webbplatsinnehåll under menyn får sedan fram fyra kataloger på ”skrivbordet” mitt på sidan. En av dessa kataloger är döpt till Användarfoton.

Unionen

Den som öppnar katalogen Användarfoton presenteras, inte helt förvånande, fotografier på medlemmar i Unionen. Katalogen innehåller 1170 bildobjekt, och eftersom varje medlem tycks ha tre versioner av samma bild, med olika upplösning, innebär det att 390 personers ansikten exponeras på detta sätt. Det som ytterligare komplicerar saken är att alla filnamnen innehåller personens personnummer. Formatet för alla filnamn är på formen 19520806[XXXX]_LThumb.jpg. Det är med andra ord enkelt att ta reda på vilka som syns på bilderna.

Unionen

Jonas Broman, cio på Unionen, förklarar det inträffade med gamla och utdaterade system.

– I de Sharepoint-baserade samarbetsverktygen som används i huvudsak av våra förtroendevalda för dokumentdelning och liknande har det funnits möjlighet att frivilligt ladda upp en bild samt viss info om sina uppdrag, för att presentera sig själv för medlemmarna på arbetsplatsen eller för andra förtroendevalda som man samarbetar med. Systemet sedan har automatiskt döpt bilderna till uppladdarens personnummer.

– Det är gamla och utdaterade system som vi håller på att byta ut, och i samband med detta jobbar vi också med stort fokus på ”privacy by design” som princip för vår utveckling. Olyckligtvis har dessa bilder potentiellt kunna nås av ett begränsat antal andra inloggade medlemmar och förtroendevalda, men vid normalt användande av systemen har informationen inte exponerats utan det har alltid krävts inloggning, det har dessutom krävts teknisk kunskap om hur man navigerar i systemet för att hitta bilderna, säger Jonas Broman.

Computer Sweden har som sagt kunnat komma åt administrationssidan i tre av varandra oberoende fall där medlemmarna inte är förtroendevalda. Det är med andra ord sannolikt att vilken medlem som helst utrustad med Bankid, alltså över 650 000 personer, har kunnat komma åt bilderna. Den tekniska kunskapen är inte värre än vad som krävs för att klicka runt i menyerna.

– Vi ser naturligtvis väldigt allvarligt på detta och vi gör allt vi kan för att det inte ska kunna hända igen. Så snart vi fick kännedom om detta stängde vi ner sidan för att utreda vad som hänt och resurser från IT och Unionens dataskyddsombud har nu fullt fokus på att analysera och åtgärda problemet. Integritetsfrågan är oerhört viktig för Unionen. Unionens medlemmar ska alltid kunna känna sig trygga med att vi behandlar alla uppgifter varsamt och enligt dataskyddsförordningens, GDPR, regler, säger Jonas Broman.

I samband med Computer Swedens påstötningar upptäckte Unionen även att tre andra sajter som är byggda på Sharepoint och som potentiellt hade liknande ”om än minimal” risk för exponering. Det handlar om avgränsade ytor för administration och dokumenthantering som används av ett begränsat antal förtroendevalda och medlemmar. Information om upp till 16 063 medlemmar eller förtroendevalda har potentiellt kunnat vara exponerade med namn och epost av andra inloggade användare.

– Det är endast förtroendevalda och medlemmar som någon gång varit inloggade på någon av de tre sajterna som kan omfattas och det är extremt osannolikt att alla dessa ska ha berörts. Även här vidtar vi också alla möjliga åtgärder för att säkerställa att ingen information ska kunna nås av personer utanför det tilltänkta användningsområdet - även om de som eventuellt skulle kunna ha nått uppgifterna till övervägande del är förtroendevalda men också ett antal medlemmar, säger Jonas Broman.

– Vi har gjort och gör egna tester och har under dagen anlitat en fristående säkerhetsexpert för att verifiera de åtgärder vi vidtagit. Vi kommer även att göra en anmälan om personuppgiftsincident till Datainspektionen.

Unionen har när detta publiceras tagit bort möjligheten att se medlemmarnas profilbilder.

Läs också:
1177: Datainspektionen öppnar granskningar av vårdregionerna
Datainspektionen inleder granskning av Stockholm stads skolsystem