Vigtig oplysning til Zookortholdere


I januar 2020 blev ZOO kontaktet af en softwareingeniør og gjort opmærksom på en sårbarhed i vores daværende medlemslogin. ZOOs it-afdeling fik omgående lukket hullet i sikkerheden og fjernet risikoen for hackerangreb. Desuden vi fik udviklet et helt nyt medlemslogin med baggrund i retningslinjerne fra Center for Cybersikkerhed. Dette nye og fuldt opdaterede medlemslogin har været i drift siden februar 2020.

 

Via mail den 3. januar 2020 og via løbende opdateringer på zoo.dk har vi orienteret Zookortholderne om udviklingen i sagen. Dette forløb er nu blevet evalueret af Datatilsynet, og ZOO er blevet påbudt at præcisere de sandsynlige konsekvenser, Zookortholdere kunne have været udsat for før den 3. januar. Vi beklager at vores informationer ikke har været fyldestgørende og bringer her essensen af udtalelsen fra Datatilsynet:

 

” Datatilsynet har givet Zoologisk Have påbud om at præcisere sandsynlige konsekvenser ifm databrud 3. januar 2020, da Datatilsynet finder, at Zoo har givet informationer til de registrerede, som ikke er fyldestgørende og retvisende, som ikke angiver sandsynlige konsekvenser eller varigheden af bruddet, og som derfor ikke hjælper de registrerede med at vurdere, hvilke forholdsregler de eventuelt skal tage, for at beskytte sig selv.

 

Det er Datatilsynets vurdering, at information om navn kombineret med e-mailadresse og kort nummer på årskortet udgør en risiko for de registrerede. Oplysningerne kan f.eks. benyttes til at sende e-mails, hvor nogen udgiver sig for at være Zoo, og derigennem sprede compuDatervira og såkaldt "ransomware", eller lokke andre oplysninger ud af ofrene, f.eks. kreditkortoplysninger – kaldet "phishing". De registrerede kan nemmere snydes, fordi de antager, at oplysningen om deres e-mailadresse kombineret med rette kortnummer kun er kendt af Zoo.

Dette er samtidig efter tilsynets opfattelse et eksempel på, hvordan de registrerede kan hjælpes med at beskytte sig selv, ved at de underrettes om bruddet og dets sandsynlige konsekvenser. Dette i øvrigt uanset om den dataansvarlige er forpligtet hertil eller ej.

 

Hemmelige/beskyttede adresser udgør efter Datatilsynet opfattelse personoplysninger der skal undergives en høj grad af fortrolighed, da en utilsigtet eksponering af sådanne oplysninger, potentielt kan have alvorlige konsekvenser for de registreredes rettigheder. Selvom de registrerede selv ikke har angivet deres adresse som hemmelig, kan de registrerede i ZOO  fejlagtigt kunne tro at deres oplysninger ikke var i nogen fare for at have været kompromitteret.”

Opdatering 18.02.20  

Det er igen muligt at benytte medlemslogin på zoo.dk. 
Når du logger ind første gang, skal du benytte "glemt password" funktionen til dannelse af personligt password. Herefter kan du logge ind på din medlemsside med dit personlige password og tilføje ændringer til dit medlemsskab, som sædvanligt.

Det er fortsat ikke muligt at købe eller lægge dit Zookort i app'en. Vi arbejder på højtryk for at løse problemstillingen. Det vil naturligvis stadig være muligt at besøge Zoologisk Have København med gyldigt Zookort.

Ønsker du at ændre eller forny dit Zookort, kan det ske ved at benytte medlemslogin på zoo.dk. 

___

Vigtig oplysning til Zookortholdere

Vi er torsdag den 2. januar blevet kontaktet af en softwareingeniør, der har gjort os opmærksom på en sårbarhed i vores medlemslogin på zoo.dk. ZOOs it-afdeling gik straks i gang med at undersøge, hvorvidt det var muligt at hacke sig ind med de oplysninger, softwareingeniøren gav os. I samarbejde med vores it-leverandør fik ZOO torsdag aften lukket det potentielle hul i sikkerheden, så en tilsvarende handling ikke kan foretages.

Det er vigtigt at understrege, at sikkerheden nu er opdateret, og IT arbejder på en række tiltag for at optimere sikkerheden yderligere.

Softwareingeniøren har derudover udelukkende påpeget sårbarheden og Zookortholdernes data har IKKE været blotlagt eller delt.


Hvad gør I nu?

Vi ser med allerstørste alvor på sagen, og vi vil selvfølgelig sikre os bedst muligt mod tilsvarende angreb. Vores it-afdeling fik allerede torsdag aften sat en stopper for den potentielle sårbarhed. Det er derfor ikke muligt at tilgå databasen uden at være i besiddelse af Zookortholderens personlige login-oplysninger.

Derudover får hele login-processen et ekstra grundigt sikkerhedseftersyn og it-afdelingen vil løbende opdatere sikkerheden.

Dit login til zoo.dk og dit Zookort kan derfor ændre udseende fremadrettet.


Er mine oplysninger i fare for at blive delt?

En artikel i Politiken har skabt bekymring hos enkelte Zookortholdere om, hvorvidt der har været fri adgang til medlemsoplysninger. Vi kan forsikre om, at dette ikke er tilfældet. Softwareingeniøren har udelukkende påpeget den potentielle sårbarhed, som nu er blevet lukket. Dine medlemsoplysninger har derfor ikke været delt eller på anden måde være kompromitteret.


Hvilke data er tilgængelige via medlemslogin?

Navn, mailadresse, adresse, postnummer, by, udløbsdato/fornyelsesdato for årskort.
Betalingskortoplysninger er IKKE tilgængelige.


Hvad kan man som medlem normalt foretage sig på medlemslogin?

Man kan opsige sit medlemskab, som så vil udløbe ved udgangen af den periode, der er betalt for.
Man kan forlænge medlemskab ved at tilføje et nyt betalingskort.
Man kan tilføje et nyt betalingskort.


Hvordan logger jeg nu ind?

Det er for øjeblikket ikke muligt at logge ind på medlemsoplysninger. Ønsker du at ændre eller forny dit Zookort kan det ske ved henvendelse i ZOOs Årskortsalg i Havens åbningstid.


Hvorfor kan man ikke ændre til et personligt password?

Det er i øjeblikket ikke teknisk muligt at ændre dit password, men det er en af de muligheder vores it-afdeling arbejder på i forhold til den yderligere opdatering af sikkerheden.