Alvorlig kritik til Salling Group for opbevaring af passwords i klartekst og påbud om underretning

Salling Group anvender et fælleslogin, en såkaldt Salling Group profil, der giver adgang til flere af deres tjenester, herunder hjemmesiderne for Føtex, Bilka, Netto, Salling og Carl Junior. I 2021 implementerede Salling Group et monitoreringsværktøj for at registrere hændelser, herunder login, på koncernens hjemmesider. På hjem.foetex.dk opstod der en fejl, hvor kundernes passwords ikke blev krypteret, før de blev lagret i systemets logfil. Dette gav op til 146 interne brugere i Salling Group teknisk adgang til at læse både brugernavne og passwords for et antal kunder.

Hvis adgangen blev misbrugt, kunne der potentielt skaffes adgang til navn, adresse, e-mailadresse, telefonnummer, maskerede betalingskortoplysninger og købshistorik for de berørte kunder.

Salling Group oplyste, at fejlen blev opdaget den 6. maj 2022, hvorefter systemet blev taget ud af drift, fejlen blev rettet, og de ukrypterede logdata blev slettet. Salling Group vurderede, at risikoen for de registrerede ikke var høj, da kun et begrænset antal medarbejdere havde den fornødne tekniske viden til at tilgå oplysningerne, og disse medarbejdere er underlagt fortrolighed.

Datatilsynet har truffet afgørelse i sagen og udtaler alvorlig kritik af, at Salling Groups behandling af personoplysninger ikke er sket i overensstemmelse med Databeskyttelsesforordningens artikel 32, stk. 1, der omhandler behandlingssikkerhed.

Datatilsynet har ligeledes meddelt Salling Group et påbud om at underrette de kunder, hvis passwords har været opbevaret ukrypteret i loggen, inden den 1. august 2022.

Datatilsynet begrunder afgørelsen med, at passwords skal behandles på en måde, der sikrer tilstrækkelig sikkerhed, herunder beskyttelse mod uautoriseret adgang. Opbevaring af passwords i klartekst i en logfil lever ikke op til dette krav, da det øger risikoen for misbrug. Datatilsynet vurderer, at risikoen for de registrerede er relativt høj.