Det svenske sparkesykkel-selskapet Voi frykter nå at utenforstående kan fått tilgang på navn og epost-adresser til over en million brukere i Europa.

Det melder Di Digital. Nettavisen har fått tilgang til en anmeldelse fra Voi til det svenske Datatilsynet, som sparkesykkel-selskapet ønsket å holde hemmelig.

– Tar GDPR på alvor

Voi sendte i november ut en epost til alle sine brukere der de opplyste om at en bruker hadde kommet seg inn i selskapets systemer, i forbindelse med at vedkommende forsøkte å hente ut sine egne kvitteringer.

Da viste det seg at personen også fikk tilgang til alle andre brukers kvitteringer.

Vedkommende skal selv ha tatt kontakt med Voi og gitt beskjed om sikkerhetshullet.

Personen hadde klart å laste ned sine egne kvitteringer, men ifølge Voi i november ble ingen andre kundedata ha blitt lekket eller publisert. Den tekniske feilen ble også rettet «i løpet av en time».

Nå ser det imidlertid ut til at lekkasjen har vært mer omfattende enn først antatt. Rapporten til Datatilsynet viser at Voi estimerer antall kunder som er berørt til «over én million».

– Vår interne etterforskning viser at ingen kvitteringer faktisk er lekket, men bakgrunnen for varslingen var at vi hadde en sårbarhet i systemet vårt som ble lagt merke til av en person utenfor Voi, skriver kommunikasjonssjef Kristina Hunter Nilsson i en epost til avisen.

Voi velger å beskrive alvoret av hendelsen for Datatilsynet som en tredje i en firegrads skala, det tilsvarer «betydelig».

– Tar hensyn

Personvernslekkasje hos Voi: Data om 100.000 kunder åpent tilgjengelig på nett

Hunter Nilsson avviser at Voi tok lett på lekkasjen i november.

– Vi tar GDPR på alvor og ønsket å ta hensyn til hendelsen til Datatilsynet gitt at kvitteringene våre i teorien kunne ha lekket, skriver hun.

Arten av personopplysningene er ikke spesifisert i varselet, siden store deler av dokumentene er hemmeligstemplet av Datatilsynets advokater.

«Som den største operatøren innen mikromobilitet i Europa, er vi et mål for nettangrep. Det er derfor ikke mulig å svare med sikkerhet om sensitiv informasjon som navn, telefonnummer, e-postadresser, kortdetaljer eller personnummer har blitt inkludert på kvitteringene. Hele varslingen skal være konfidensiell,» skriver Voi i anmeldelsen, gjengitt av DiDigital.

Andre gang i år

Det er ikke første gang Voi har hatt problemer med personvernlekkasjer. I mars kom det frem at selskapet hadde hatt 100.000 kunders personopplysninger liggende åpent tilgjengelig på nett.

De delte dataene dreier seg om blant annet brukernavn, epost-adresser og telefonnumre. Også tidligere kunders mailadresser skal det ha vært mulig å finne frem til. Den gang var det den den tyske radiokanalen Bayerischer Rundfunk som hadde oppdaget sikkerhetskullet.

Den forrige hendelsen ble rapportert til Datatilsynet kort tid etter at den ble avduket i fjor vår, men ble deretter beskrevet av selskapet som "ubetydelig" og i det minste i en fire-graders skala.

Maksimal straff for GDPR-reglene er 20 millioner euro, eller 4 prosent av et selskaps årlige salg. Det høyere beløpet gjelder. For mindre alvorlige forbrytelser vil boten være opp til 10 millioner euro, eller 2 prosent av salget.