Incidentrapporter/2019-08-27 Uppgifter om medlemskap

Incidentrapport: Uppgifter om medlemskap
Datum och tid då incidenten upptäcktes 2019-08-27 17:13
Beskrivning av incidenten Ett integritetshål upptäcktes i vårt medlemssystem Zynatic genom vilket en obehörig kunde få ut information om huruvida någon är/var medlem i Wikimedia Sverige.

Om man gjorde en medlemsansökan där man manuellt angav namn och adress för en person som redan var medlem fick man upp en ruta om att det redan finns en medlem med samma namn och adress. Detta även om man angett en annan e-postadress.

Hålet var relativt begränsat (man måste göra det en gång per person man vill pröva med) och den enda personuppgiften man kom åt var om någon är/var medlem eller ej.

Beskrivning av vidtagna, eller föreslagna åtgärder, för att åtgärda, eller mildra effekterna av incidenten Händelsen rapporterad till Zynatic som åtgärdade det omedelbart. Zynatic såg inga tecken på att detta hål systematiskt utnyttjats.
Involverade detta personuppgifter (Ja/Nej) Ja
Om personuppgifter berörs
Datum och tid då incidenten kom till personuppgiftsansvariges kännedom 2019-08-27 17:13
Beskrivning av vilka som är berörda Medlemmar (nuvarande och tidigare) i Wikimedia Sverige
Antal registrerade som berörs ≈500 (ungefärligt antal medlemmar i systemet)
Kategori av personuppgifter som berörs Medlemskap
Antal berörda personuppgiftsposter ≈500 (teoretiskt maxantal, inget tyder på att hålet utnyttjats)
Beskrivning av sannolika konsekvenserna av personuppgiftsincidenten Inga
Utgör personuppgiftsincidenten risk för fysiska personers rättigheter och friheter? (Ja/Nej) Nej.
Motivation
Den enda uppgift som gick att få fram var om medlemskap fanns, för att få fram denna krävdes separat tillgång till andra personuppgifter. Zynatic såg inga tecken på att mekanismen systematiskt utnyttjats.
Namn och kontaktuppgifter för personuppgiftsombud André Costa