Skrevet: tors. 11 jan. 2018

Adgang til kundeinformation via sikkerhedshul i Miracles testsystem er lukket

Det har desværre vist sig, at vi har haft en sårbarhed i testversionen af vores sagsstyringssystem Jira i perioden fra 20. december til 8. januar. Sårbarheden gjorde, at kundespecifik information på testsager i denne periode var tilgængelig fra omverdenen. Denne sårbarhed omhandlede alene vores testsystem til Jira og ikke andre systemer som Miracle har ansvaret for.

På nær for enkelte kunder, som er informeret direkte, viser grundige undersøgelser, at personfølsomme data ikke har været eksponeret i forbindelse med hændelsen.

Heldigvis har det været i en stille periode, og vi kan via logfiler se, at data kun er tilgået i meget begrænset omfang.

Fejlen opstod, da en betroet medarbejder med administrative privilegier ændrede en sikkerheds-setting på et enkelt projekt og fejlagtigt ændrede en setting, der berørte mange projekter.

Miracle opbevarer data for en række kundeprojekter i vores sagsstyringssystem Jira. Typisk drejer det sig om fejlhenvendelser, ønsker til rettelser eller lignende. I ganske få tilfælde kan der i forbindelse med korrespondancen om sager være eksemplificeret med personfølsom information, selvom vores generelle politik er, at dette ikke må opbevares i systemet. Typisk findes data i form af et attachment, hvor personfølsom information er indeholdt.

Hændelsforløb

20/12 2017         En systembruger ændrer setting i Miracle standard permission scheme på testversion af Jira.
01/01 2018         Google indekserer webstedet jira-test.miracle.dk og gør data tilgængeligt i deres cache.
07/01 2018         Miracle bliver opmærksom på den offentlige tilgængelighed på jira-test.miracle.dk
07/01 2018         Sikkerhedshul lukkes straks, og task force nedsættes til systematiske undersøgelser af omfang og berørte kunder.
08/01 2018         Google cache slettes, og det konstateres, at ingen yderligere søgemaskiner har gemt de eksponerede data.

Videre initiativer

Det er os magtpåliggende at undgå lignende hændelser i fremtiden, hvorfor vi pt. gennemgår og opdaterer vores procedurer ift. opdatering af vores systemer og til sikring af at personfølsomme oplysninger ikke lagres i sagsstyringssystemet.

Miracle beklager hændelsen

Vi beklager meget denne hændelse og den risiko, vi dermed har udsat vores kunder for.
Såfremt I ønsker det, står vi naturligvis til rådighed for besvarelse af spørgsmål enten via telefon, e-mail eller ved et møde.

Henvendelse kan rettes til:

Jan Skelbæk Simon Møgelvang Bang Mikkel Schrøder
CEO CTO Taskforce manager
+45 5374 7170 +45 5374 7268 +45 5374 7158
jsk@miracle.dk smb@miracle.dk mik@miracle.dk