Annons

Säkerhetslucka hos Voi – över 1 miljon kunder drabbade

Vois vd och medgrundare Fredrik Hjelm tillsammans med bolagets app.
Vois vd och medgrundare Fredrik Hjelm tillsammans med bolagets app. Foto: Di och TT.
Voi befarar att utomstående kunnat komma åt namn och mejladresser från över 1 miljon av deras användare i Europa, kan Di Digital avslöja. Det framgår av en anmälan till Datainspektionen – som elscooterbolaget velat hemligstämpla i sin helhet. 
Facebook
Twitter
LinkedIn
E-post
Öka textstorlek

Det svenska elscooterbolaget Voi har sedan starten i augusti 2018 rönt stora framgångar i Europa. Med hjälp av 1,2 miljarder kronor i riskkapital har bolaget intagit närmare 40 städer med sin fordonsflotta. I år räknar de med att omsätta ”hundratals miljoner kronor”.

Men allt är inte frid och fröjd på det snabbväxande bolaget. Den 21 november skickade Voi ut ett pressmeddelande som gjorde gällande att en användare lyckats ta sig in deras tekniska system där kvitton från olika resenärer lagrades.

Personen hade lyckats ladda ned sina egna kvitton, men enligt Voi ska ingen annan kunddata ha läckts eller publicerats. Enligt bolaget rättade man också till det tekniska felet ”inom någon timme”.

Hela anmälan bör sekretessbeläggas.

Men nu framkommer det att läckan varit mer omfattande än Voi först velat ge sken av. Av en anmälan till Datainspektionen som Di Digital har tagit del av framgår att Voi uppskattar antalet drabbade kunder till ”över 1 miljon”.

Voi vill inte ställa upp en på en telefonintervju, utan kommunikationschefen Kristina Hunter Nilsson svarar i stället på frågor via mejl. 

”Vår interna utredning visar att inga kvitton faktiskt läckte ut, men bakgrunden till anmälan var att vi hade en sårbarhet i vårt system som uppmärksammades av en person utanför Voi”, skriver hon.

Läs mer: Voi utesluter inte förvärv efter jätterunda: ”Ska vara lönsamt 2022” 

Bolaget uppger i anmälan att de inte vet exakt hur många användare som legat i riskzonen för att bli exponerade, utöver uppskattningen på ”över 1 miljon”.

Voi väljer att beskriva allvaret i händelsen till Datainspektionen som en trea på en fyrgradig skala, det vill säga som ”betydande”.

Försökte ni i ert första pressmeddelande tona ned omfattningen av händelsen?

”Nej, över huvud taget inte. Vi tar GDPR seriöst och ville uppmärksamma incidenten till Datainspektionen givet att våra kvitton i teorin kunde ha läckt”, skriver Kristina Hunter Nilsson. 

Karaktären av personuppgifterna specificeras inte i anmälan, eftersom stora delar av handlingarna har hemligstämplats av Datainspektionens jurister. 

Som den största operatören inom mikromobilitet i Europa är vi ett mål för cyberattacker.

Det går därmed inte med säkerhet att svara på huruvida känsliga uppgifter som namn, telefonnummer, mejladresser, kortuppgifter eller personnummer funnits med på kvittona.

”Hela anmälan bör sekretessbeläggas”, skriver Voi som slutord till Datainspektionen.

Kristina Hunter Nilsson uppger dock för Di Digital att det på kvittona i vissa fall funnits med namn tillsammans med kundens mejladress.

Det är inte första gången som Voi hamnar i blåsväder kring hanteringen av personuppgifter. Redan i mars 2019 rapporterade den tyska radiokanalen Bayerischer Rundfunk att data från 465 000 av Vois användare legat öppet tillgängliga på nätet. Men då valde bolaget att tona ned händelsen.

”Uppgifterna om att 460 000 användare skall ha läckt är felaktiga. Det rör sig om cirka 100 000 email-adresser och i vissa fall även personnamn och telefonnummer enligt våra efterforskningar”, uppgav marknadschefen Caroline Hjelm vid tillfället.

Den tidigare händelsen anmäldes till Datainspektionen kort efter att den avslöjades i våras, men beskrevs då av bolaget som ”negligerbar” och lägst på en fyrgradig skala. 

Det är andra gången som en stor dataincident sker på Voi under 2019, där åtminstone 100 000 och nu över 1 miljon användare påverkats. Är ni tillräckligt seriösa i ert säkerhetsarbete? 

”Vi tar användarnas integritet på stort allvar och det är vår prioritet när vi utformar våra plattformar. Men som den största operatören inom mikromobilitet i Europa är vi ett mål för cyberattacker”, skriver Kristina Hunter Nilsson, och fortsätter:

”Vi utvärderar kontinuerligt hur vi kan bli bättre på datasäkerhet och användarintegritet. Vi har vigt extra resurser som enbart ska jobba med de här frågorna för att förhindra att något liknande inträffar igen.”

Maxstraffet för överträdelser mot EU:s dataskyddsförordning GDPR är 20 miljoner euro, eller 4 procent av ett bolags årsomsättning. Det högre beloppet gäller. För mindre allvarliga brott blir boten upp till 10 miljoner euro, eller 2 procent av omsättningen.

Storägare i Voi med ungefär en tredjedel av aktierna är det börsnoterade investmentbolaget Vostok New Ventures.

Läs mer: Voi överklagar – vill behålla jättekontraktet med Stockholms stad

Facebook
Twitter
LinkedIn
E-post
Vi använder cookies för att förbättra funktionaliteten på våra sajter, för att kunna rikta relevant innehåll och annonser till dig och för att vi ska kunna säkerställa att tjänsterna fungerar som de ska. Läs mer i vår cookiepolicy.
Läs mer