Connect with us

Original

Fortrolige interne dokumenter fra danske medier flyder frit på nettet

Hul i populært online værktøj giver direkte adgang til fortrolige data og planer hos Ekstra Bladet og flere andre medier. Blandt andet har Medietrends fundet persondata om 18.000 læsere

Udgivet

den

Fortrolige interne dokumenter fra danske medier flyder frit på nettet
Udsnit af brugerdata fra Ekstra Bladet Spil

Ved hjælp af ganske få klik er det lykkes Medietrends at få indblik i udviklingsprojekter fra danske medier og stærkt personfølsomme oplysninger om flere end 18.000 danske mediebrugere.

Medietrends har helt lovligt søgt i planlægningsværktøjet Trello, som mange medier og virksomheder anvender til projektstyring af små og større opgaver. Trello er en onlineopslagstavle, hvor medarbejdere kan dele diverse opgaver og dokumenter i et projekt.

Når opslagstavlen oprettes, er den som udgangspunkt altid privat og kun inviterede medarbejdere kan se indholdet. Men hvis nogen gør opslagstavlen offentligt tilgængelig, bliver det muligt at finde frem til den ved hjælp af helt simple Google-søgninger.

Og det er præcis, hvad Medietrends har gjort inspireret af en norsk afsløring, hvor NRK med samme metode fik adgang til en Trello-opslagstavle hos Aftenposten og fandt detaljerede personoplysninger på 585 kunder.

Det norske databrud overgås dog med flere længder, da Medietrends med søgningen ”trello ekstrabladet” i første søgeresultat får adgang til en opslagstavle om online casinospil på eb.dk.

På opslagstavlen er der link til et regneark med omfattende personoplysninger på flere end 18.000 personer, som er tilmeldt casinospillet.

Regnearket indeholder personernes fulde navn, adresse, alder, fødselsdato, køn, emailadresse, telefonnummer, samt ikke mindst hvor store beløb, de har indsat på casinospillets konto og hvad de har vundet.

Dashboardet er oprettet af en underleverandør til Ekstra Bladet Spil A/S i 2017. Og informationerne i regnearket er også fra 2017.

Card fra Ekstra Bladets Trello-board med link til brugerdata

Hos Ekstra Bladet beklager kommerciel direktør Claus Rothoff Brix sikkerhedsbrudet:

”Det er en henvendelse, vi betragter med stor alvor. Sikkerhedsbruddet er opstået hos en underleverandør, og vi er først blev opmærksomme på bruddet nu, hvor vi ikke længere ejer Ekstra Bladet Spil,” skriver Claus Rothoff Brix i en skriflig kommentar og uddyber:

”Ekstra Bladet Spil blev frasolgt i 2019, og det er den nye ejer, der har ansvaret for at håndtere situationen. Vi har naturligvis informeret den nye dataansvarlige om den alvorlige situation, og har fra vores side iværksat de tiltag i håndteringen af sagen, som vi har beføjelser til. Men vi har ikke bemyndigelse til at agere over for kunderne.”

Hvorfor medarbejderen hos Ekstra Bladets underleverandør har fjernet privatstatus og gjort opslagstavlen offentlig og søgbar vides ikke. Men ifølge Trello er den mest sandsynlige forklaring, at opslagstavlen skulle deles med personer, der ikke havde oprettet sig som registrerede brugere hos Trello.

Når man ændrer status fra privat til offentlig får man en advarsel fra Trello om, at indholdet kan læses af alle inklusive Google. Om den advarsel også eksisterede i 2017, har det ikke været muligt at få afklaret.

Advarsel om at Google kan læse med på offentlige opslagstavler

Ekstra Bladet er ikke det eneste danske medie, der snubler i Trello-fælden. Google-søgninger fandt også hurtigt frem til interne opslagstavler hos Berlingske, Kforum og Føljeton.

Hos dem er der dog tale om bagatelagtige oplysninger.

For eksempel Kommunikationsforums huskeliste til Folkemødet 2017, lidt planlægning af annoncering hos Føljeton og en oversigt over (låste) Trello-opslagstavler hos Kristeligt Dagblad.

Berlingske afslører heller ikke for alvor interne detaljer, men der er adgang til en opslagstavle fra 2017, der tilsyneladende har været brugt til at koordinere design- og brugeroplevelser på tværs af Berlingske Medias titler. Det vil sige Berlingske, BT, Weekendavisen og Radio 24Syv.

På opslagstavlen er der opgaver om Black Friday-kampagne på BT, købsrejse for indloggede ikke-abonnenter på Berlingske og en vejr-widget til BT. Alle sammen uden detaljer og alene informationer, som kan bruges til at konstatere, at Berlingske Media på de pågældende tidspunkter, har arbejdet med de nævnte opgaver.

Digital udviklingsdirektør Christian Stavik fra Berlingske Media oplyser, at de bruger mange forskellige værktøjer i udviklingsarbejdet og at der ikke er hemmeligheder på de åbne Trello-opslagstavler.

”Dokumenter som er interne, ligger i andre systemer. I det board, du har fundet, er der links til Jira, og det rammer dermed vores interne log ind, som det skal. Vi har ikke oplevet udfordringer med Trello,” siger Christian Stavik.

Flere søgninger på Trello for danske medier leder til studieopgaver, som studerende har lavet med medier som cases. Resultatet af disse søgninger afslører derfor ikke interne dokumenter fra medierne.

Det gælder blandt andet Politiken og TV2.

Undgå Trello-fælden

  • Undersøg om I ved en fejl har Trello-opslagstavler, der er søgbare.
  • Søg forskellige kombinationer med dit firmanavn og nøglepersoners navne og trello på Google. Fx ”medietrends trello” eller ”birkemose trello”.
  • Dukker der noget op, som ikke bør deles med offentligheden, bør du skifte status fra offentlig til privat på Trello-opslagstavlen

Medietrends har kontaktet Trello for at spørge om deres ansvar for, at ingen uforvarende kommer til at dele fortrolige oplysninger på nettet.

”Opslagstavler på Trello er som udgangspunkt altid private og kan kun blive offentligt tilgængelige, hvis brugerne manuelt ændrer deres status. Vi gør os store anstrengelser for at sikre, at brugerne er helt bevidste om, at deres opslagstavler er offentlige og man kan kun skifte status ved at bekræfte, at man ønsker det,” lyder det fra Trellos co-founder Michael Pryor til Medietrends.dk

Trello oplyser desuden, at opslagstavlerne altid har været indstillet default til privat, men at det først var i 2018, at man indførte en ekstra bekræftelsesrutine for at skifte til offentligt.

Søgning på Trello og danske medier giver også adgang til et omfattende publiceringsværktøj hos FN, hvor de planlægger, hvilke medier verden rundt, der skal have kronikker fra generalsekretær António Guterres og andre højtstående FN-profiler.

Opslagstavlen ligger her og kan bruges til at se, hvilke medier i ind- og udland, der har fået hvilke kronikker.  Kan for eksempel bruges til at tigge kronikker, der endnu ikke er blevet placeret i et dansk medie.

Læs også