Säkerhetslucka i Journalistens inloggningssystem – kan ha röjt medlemskap i Journalistförbundet
Det har varit möjligt att ta reda på om någon är medlem i Journalistförbundet genom en lucka i Journalistens inloggningssystem, avslöjar tidningen Arbetet. Problemet är nu åtgärdat, uppger chefredaktör Axel Andén. ”Det är inte bra att det var så här”, säger han. (UPPDATERAD)
I måndags avslöjade Arbetet att bank-id-inloggningar hos flera fackförbund innehöll säkerhetsluckor. Medlemmar och icke-medlemmar fick olika svarsmeddelanden från sajten vid inloggning. Därmed gick det att kontrollera om någon är medlem i fackförbunden.
Samma fel fanns hos Journalisten, som är en av få tidningar som använder det här inloggningssättet.
Det var när Arbetets reportrar ringde till Journalisten med frågor till en uppföljning av deras granskning som tidningens chefredaktör Axel Andén blev varse problemet.
– När vi blev uppmärksammade på det här så kontaktade vi våra it-leverantörer, och när vi fick tag i dem tog det mindre än en timme att ta bort luckan. Så det var löst före lunch igår, säger han.
Han beklagar att felet funnits.
– Om man är med i facket, och i så fall vilket, är att betrakta som en känslig uppgift och något som man själv ska kunna välja om nån annan ska få veta.
Problemet uppstod när inloggning med bank-id infördes på Journalistens sajt 2020. Felet var att inloggningssystemet först anropade medlemsregistret för att sedan anropa bank-id. Om personnumret inte fanns i medlemsregistret fick man ett felmeddelande, och på så sätt kunde man lista ut om någon var medlem.
– Nu har vi gjort om så att bank-id först anropas och först därefter kollas om man är med i förbundet. Nu får man samma meddelande oavsett om personnumret finns i registret eller inte.
Journalistförbundet har inte haft den aktuella inloggningsbristen.
Enligt tidningens webbyrå finns det inte några tecken på att luckan utnyttjats på ett systematiskt sätt, genom att någon testat en stor mängd personnummer.
– Men det kan ju ha varit någon som har gjort det för ett enskilt personnummer. Det kan vi inte veta, och det är beklagligt om det är så.
Journalisten har varit i kontakt med TCOs dataskyddsombud och har lämnat in en anmälan av incidenten till Integritetsskyddsmyndigheten.
– Fokus har varit att lösa problemet så snabbt som möjligt, säger Axel Andén.
