Svenskars personuppgifter låg i oskyddad databas

Elastisearch? Inget man använt sig av iallafall.

Populärt verktyg för att samla in loggar och andra metrics i applikationer... Inget du som användare använder dvs och du har i princip ingen aning om ifall dina uppgifter lagras där

Blizzard, Tinder och Uber kör Elasticsearch för analyser och liknande. Svenska myndigheter använder Elasticsearch (egen erfarenhet) t.ex. Försäkringskassan om än On-prem.

Så du kan se vad jag fick i elstöd?

Varför ska jag göra det? Jag ser väl inte vad du får för andra bidrag från Försäkringskassan heller. Mörkläggning...

Du behöver inte söka barnbidrag heller. Mörklägger de det också? Du kan ju inte se hur många barn under 16 år som folk har heller...

Barnbidrag har funnits länge och är noga reglerat. Detta kom snabbt och oväntat och delades även ut till företag om jag inte minns konstigt.

https://www.svk.se/press-och-nyheter/nyheter/allmanna-nyheter...
https://www.svk.se/press-och-nyheter/press/10-miljarder-i-els...

De har gjort ett dåligt jobb med den här påstådda mörkläggningen i alla fall.

Personnummer är ingen hemlighet, man kan ringa till Skatteverket och be om vem som helst siffror inkl. De 4 sista så får man det .
Eller använda en av alla tjänster på nätet

Så svenska myndigheter har ingen talan gällande uppgifter om svenskar hamnar i utlänska databaser? Det ser jag som ett problem men man kan ju tycka olika.

Mansdr ju inte vem som fått vad. Min granne var förbannad vet jag. Han hade lagt storasummor på isolering betgvärme pump ftx mm. Helt i onödan då alla ändå fick denna "kompensation".
En annan granne då att han "lurat systemet". Han fick tillbaka ju mer han gjorde av med.
Inget man någonsin kan veta om det stämmer men han som "lurat systemet" hade värme slingorna på hans garage uppfart på 24/7.

Beror på vilket land det rör. Nu är ju detta inom EU så kommer med största sannolikhet hanteras inom ramen för GDPR och det kommer nog bli dyrt för bolaget som klantat sig.

Annars är det väl svårt för svenska myndigheter att påverka bolag i ett annat land på något vis vad det än rör. Men det gäller ju alla länder. Om man inte kör USA style och utpressar med tullar och liknande, eller som EU gör med böter.

Du kanske minns att USA nyligen skickade ut brev där man sa åt alla leverantörer till amerikanska staten att sluta med all form av inkludering, jämställdhet etc, annars skulle man inte få några nya affärer, en del bolag rättade ju in sig i ledet, en del bara skrattade. Stockholms stad skrattade exempelvis. Så försöka kan man ju, ibland funkar det.

https://www.svt.se/nyheter/lokalt/stockholm/usas-ambassads-kr...

Ett annat sätt är ju att hålla in med bistånd till länder som behöver det. Eller förbjuda ett bolag att ha verksamhet i ens land. etc etc. Så det är en annan typ av verktygslåda man behöver jobba med.

Det var ju beroende på förbrukningen. Om man förbrukade mer fick man mer tillbaka, men man hade också betalat mer. Man gick ju inte plus på det här. I alla fall, det är glasklart att det inte är någon mörkläggning så jag betraktar den här diskussionen som avslutad.

Skillnaden hade varit att det inte hade funnits kompletta databaser att hämta informationen ifrån i första läget. Så den infon man skulle kunna köpa hade varit mycket mer begränsad och inte komplett. Hade vi inte haft offentlighetsprincipen hade det lönat sig mer att vara försiktig med sina uppgifter.

Kan lika gärna vara så att deras data-noder i klustret inte hade autentisering påslaget utan tillät anonym access. Det är liksom inte en vanlig relationsdatabas i Elastic

Som standard när du sätter upp ett nytt kluster får du såklart elastic superuser, men lösenordet är alltid slumpat och lagras i en keystore internt i elastic. Du kan däremot stänga av autentisering/aktivera anonym access om du bara ska låta alla titta på det. Högst oklart varför den publicerats utåt med detta dock hehe och utan några cert

Nu verkar det dock ha ändrats redan 2019 (satan man börjar bli gammal), men innan dess låg autentisering låst bakom betald licens.

Detta skapade nog en dålig kultur bland elasticsesarch användare (heck, jag har missat i 6 år att det ingår i gratis edition).

Helt enkelt, 95% av dom elastic-installationer jag stött på har inte kört lösenord, helt enkelt på grund av att det blir ”bekvämt” (samt att folk före 2019 inte ville pröjsa)

Efter att ELK-stacken slutade vara open source (numera Elastic-stack) hamnade en del bakom betal-licens ja, men det är endast AD-inlogg som ligger där, vanliga native-konton är fritt att använda i free-tieret

AD-inlogg är däremot inget som är omöjligt att lösa med en egenutvecklad reverse-proxy..

Svenska myndigheter har inte så mycket att tala om när det kommer till Danska bolag (Svensk lag slutar ju vid Öresundsbron) och det faller väl på den enskilde medborgaren att göra en GDPR anmälan. Klaga och be Danska staten och ev EU att göra något kan de ju göra men vet vi ens om Svenska myndigheter är informerade om denna läcka än?

Man kan inte bara läcka personuppgifterna till hela Sveriges befolkning, ens av misstag. Det här behöver bli ett exempel, jag föreslår vite 10 000kr per läckt personnummer vilket å ena sidan känns alldeles för lågt, men å andra sidan kommer bli en omöjlig fantasisumma i vilket fall.

Så att vi skickar en tydlig signal till alla som vet med sig att de har liknande säkerhetshål idag, eller som inte har tydlig koll på hur säkerheten kring personuppgifter sköts, att det är deras högsta affärsmässiga prioritet att hitta och täcka igen sådana säkerhetshål nu direkt.

Instämmer. Det absolut märkligaste i de här frågorna är att den som slarvat alltid tycks komma undan med att bara be om ursäkt och yra loss om att datasäkerhet är oerhört viktigt för dem. Klart som fan det inte finns några incitament att lägga resurser på säkerhet när det inte finns några verkliga konsekvenser av att inte göra det.

Våra grannar Tyskland, som några generationer tillbaka fick högst påtaglig förstahandserfarenhet av hur insamlade personuppgifter kan användas, har annars anammat en filosofi de kallar datensparsamkeit. I stort går den ut på att man lagrar och hanterar så lite personuppgifter som bara möjligt för varje givet ändamål. Det finns inte en chans att en dansk firma skulle ges tillgång till den aktuella sortens detaljerade uppgifter om den tyska befolkningen.

Tyskland tycks trots detta ha en mycket välmående ekonomi. Ser inte hur det skulle vara skadligt att anamma samma filosofi i Sverige.

Det är kort sagt hög tid att strypa personuppgiftskranarna.

Anser man att det är ogörbart, så kan man åtminstone hålla personer som lider ekonomisk förlust pga tredje parts slarv med personuppgifter skadelösa via anspråk gentemot den slarvande tredje parten. Denne ges i sin tur anspråk mot brottslingen. Om/när brottet reds ut och stulna medel kommer till rätta igen kan den slarvande parten ersättas som lågprioriterad fordringshavare.

Fast jag vet att Avanza fick en stämning mot sig av en individ (enda som orkade) för att de läckt information tidigare.

Har vi någon som är hugg på lagar här, har man någon chans att kräva skadestånd om man är drabbad?