Säkerhetshål hos fackförbund – medlemmar kunde röjas under flera år

Säkerhetsluckan på IF Metalls medlemssida artar sig såhär: Om du varit medlem har allt flutit på, och du har hänvisats vidare till legitimering via mobilt bank-id. Om du inte varit medlem har du istället fått felmeddelandet: “Något gick fel, försök igen." Därmed kan du – utan att logga in – ta reda på vem som är medlem och inte, genom att endast skriva in ett personnummer. 

IF Metall arbetar nu med att bygga om systemen. Fackförbundet menar dock att det bristfälliga systemet har använts i flera år, och nyttjas av fler organisationer än IF Metall. Bland annat finns samma säkerhetshål på Akavias medlemssidor, och ett liknande fel hittas även hos Pappers. Totalt berör säkerhetsluckan över 400 000 drabbade medlemmar. 

– Är man orolig för hur personuppgifter behandlas och hur man kommer att hantera dem i fortsättningen har vi ett dataskyddsombud som man kan kontakta. Vi kommer också själva att att anmäla det till Integritetsskyddsmyndigheten, säger Jesper Pettersson, pressansvarig på IF Metall, till Arbetet.

Enligt GDPR räknas fackligt medlemskap som särskilt känsliga uppgifter. 

– Det är en särskilt hög nivå av känslighet. De här uppgifterna har ett starkare skydd eftersom det kan leda till särskilda risker om de sprids till obehöriga, säger Sofia Standar, jurist på IMY, till Arbetet. 

IF Metall, Akavia och Pappers har nu åtgärdat säkerhetshålen, och det ska inte gå att utnyttja dem längre.