Sikkerhedshul i parkeringsapp: Finn betalte for Jakobs parkeringer i halvandet år

Et telefonnummer, som skiftede ejer, betød, at EasyPark-app blandede to brugere sammen.

EasyPark findes i en langt række europæiske lande og har hovedkontor i Sverige. (© EasyPark)

En augustdag i 2018 skulle Jakob Larsen betale for parkeringen af sin bil.

For at gøre betalingen nemmere, downloadede han en parkeringsapp fra firmaet EasyPark.

Han oprettede sig som bruger ved at indtaste sit telefonnummer. Her benyttede Jakob Larsen sit arbejdstelefonnummer.

Finn Lund Hansen opdagede i januar 2020, at han havde betalt for Jakob Larsens parkeringer i næsten halvandet år. (© PRIVATFOTO)

Han betalte for sin parkering og tænkte ikke videre over det.

I januar 2020 sidder Finn Lund Hansen og tjekker sine kontoudtog.

Han opdager, at der er blevet trukket flere småbeløb til betaling af parkeringer på steder, han aldrig har parkeret.

Han finder ud af, at det har stået på i op mod halvandet år.

- Jeg blev overrasket over det her. Jeg så, at der var trukket de her små beløb med mellemrum fra min konto. Først troede jeg, at jeg var blevet hacket, siger Finn Lund Hansen.

I alt er der hævet 531,35 kroner til forskellige parkeringer.

Brugte samme telefonnummer ved oprettelsen

Finn Lund Hansen har ligesom Jakob Larsen også benyttet EasyParks app til at betale for sine parkeringer.

Og Finn Lund Hansen benyttede også sit arbejdstelefonnummer ved oprettelsen. Da han stoppede i firmaet, overgik telefonnummeret senere til Jakob Larsen.

Og det er det, som giver problemer i EasyParks app, hvilket Finn Lund Hansen finder ud af, da han kontakter EasyPark.

- De fortalte mig, at min og Jakobs konto var slået sammen, da vi benyttede samme telefonnummer, siger Finn Lund Hansen.

Han fik udleveret oplysninger om registreringsnummeret på Jakob Larsens bil, og hvor bilen havde holdt parkeret. Finn Lund Hansen tog efterfølgende kontakt til Jakob Larsen.

- Jeg blev meget overrasket, da Finn kontaktede mig. Jeg havde slet ikke opdaget, at vores konti var blevet lagt sammen, siger Jakob Larsen.

Jakob Larsen brugte sit arbejdstelefonnummer til at oprette sig i EasyParks app. Et nummer som tidligere tilhørte Finn Lund Hansen. (© PRIVATFOTO)

Finn Lund Hansen ville have EasyPark til at tilbagebetale det beløb, som Jakob Larsen havde parkeret for, da fejlen lå i EasyParks system.

Men det afviste EasyPark ifølge Finn Lund Hansen. Han fik besked på, at det måtte de selv finde ud af.

- Jeg overførte med det samme pengene til Finn. Han skal jo ikke betale for mine parkeringer. Men jeg er rystet over, at jeg bare har kunnet parkere på en andens regning, siger Jakob Larsen.

IT-Specialist: Det er ikke nok med telefonnummer til login

Når man logger ind på EasyParks app, benytter man kun sit telefonnummer, hvorefter man får tilsendt en sms med en kode.

Og det er netop et af problemerne med EasyParks app, siger Allan Frank, som er it-Sikkerhedsspecialist i Datatilsynet.

- Det er ikke nok, hvis man kun bruger et telefonnummer til login. Der skal helst være flere faktorer som for eksempel et brugernavn, et password eller en e-mail, siger han.

Ifølge Allan Frank er det endnu værre, når én bruger kan få adgang til en anden brugers oplysninger.

- Det er problematisk, når man kan logge ind i en app med et telefonnummer og så får oplysningerne på en anden bruger. Så begynder man at komme på kant med reglerne, siger Allan Frank.

Derfor har EasyPark ifølge Allan Frank ikke den nødvendige sikkerhed i sin app, og det kan være en overtrædelse af den generelle databeskyttelse.

Jakob Larsen er foruroliget over, at en anden bruger har kunnet se, hvor han har parkeret og få oplysningerne på hans bil.

- Det er jo håbløst, at EasyPark ikke har mere styr på deres sikkerhed og den data, de ligger inde med. Det er især rystende, når man tænker på, hvor mange brugere EasyPark har, siger Jakob Larsen.

Direktør i EasyPark: Problemet opstår meget sjældent

Bernd Reul er Country Director for Danmark og Benelux i EasyPark.

Han oplyser i et skriftligt svar til DR, at han ikke kan kommentere på konkrete sager og derfor kun kan svare generelt på problemstillingen.

- Problemet opstår heldigvis kun meget sjældent, og så løser vi det sammen med kunderne, skriver Bernd Reul.

Bernd Reul oplyser, at fejlen kan ske, når en kunde får et nyt mobilnummer, men udelader at opdatere det på sin EasyPark-konto.

- Når så nummeret på et tidspunkt bliver genanvendt af teleselskabet til et nyt mobilabonnement, og denne ønsker at bruge EasyPark og skriver nummeret i appen, kan det ske, at vedkommende logger ind i stedet for at oprette sig på ny, fordi det er muligt at få tilsendt et nyt password via sms, skriver Bernd Reul.

I EasyParks betingelser står der, at ”kunden er ansvarlig for, at de afgivne oplysninger vedrørende kunden er korrekte”.

- Det er også fint nok, men derfor skal en forglemmelse jo ikke give en anden person adgang til mine oplysninger, siger Jakob Larsen.

Og det giver it-specialist ved Datatilsynet Allan Frank ham ret i.

- Bare fordi man har glemt at opdatere sine oplysninger, så burde det ikke være så let at få afsløret alle sine parkeringsvaner eller andre oplysninger, siger han.

EasyPark arbejder på at løse problemet

Country Director i EasyPark, Bernd Reul, pointerer i sit svar, at der ikke ligger brugbare tilgængelige kreditkortinformationer i appen, og det er derfor ikke muligt at få adgang til andres kortinformationer.

- Det er dog muligt at foretage parkeringer, som så betales via det kort, som er registreret, skriver Bernd Reul.

Ifølge Bernd Reul arbejder EasyPark på at løse problemet.

- Vi har i længere tid arbejdet på en løsning for at forhindre, at problemet med genanvendte numre opstår og har testet forskellige løsninger løbende. De tekniske løsninger, som EasyPark har udviklet og afprøvet, opfyldte desværre ikke tilstrækkeligt kravene til sikkerhed og brugervenlighed, og vi undersøger derfor fortsat andre alternativer, skriver han.

Desuden oplyser Bernd Reul, at EasyPark selv har rapporteret problemet til databeskyttelsesmyndighederne. Og henvendt sig til datamyndighederne i Sverige for at få deres syn på problemet, da den svenske datamyndighed ifølge EasyPark er deres vigtigste tilsynsmyndighed.

Ifølge Bernd Reul betaler EasyPark de brugere tilbage, som er kommet i klemme og sørger for at få betaling fra den nye kunde, som har foretaget parkeringen.

Men ifølge Finn Lund Hansen har han i denne sag fået at vide, at parterne selv måtte finde ud af betalingen.

Bernd Reul skriver i sit svar til DR, at han har haft kontakt til den medarbejder, som har haft sagen, og at det må være en misforståelse. EasyPark vil nu sørge for tilbagebetalingen.

Jakob Larsen har efterfølgende klaget til Datatilsynet over EasyParks behandling af hans personlige oplysninger, og at de har udleveret nogle af hans oplysninger til tredjepart.

Den sag er endnu ikke afgjort.