Databrudd hos Collectia og Xplora

Systemsvikt avdekket: Alvorlig databrudd hos Collectia og Xplora – Kunden føler seg maktesløs

Lekkasje avdekker kritikkverdig praksis: Inkassoselskapet skylder på feil e-post, mens kunden raser mot manglende personvern.

Nettsak.no har avslørt et alvorlig databrudd som involverer inkassogiganten Collectia og barneklokkeleverandøren Xplora. Sensitive personopplysninger, inkludert barns telefonnumre, har havnet i feil hender. Collectia skylder på en feil e-postadresse oppgitt av kunden Tobias Tobiassen, men han slår kraftig tilbake og anklager selskapet for grov neglisjering av personvern.

Feil adressat: E-post på avveie

Epost sendt til en epostadresse som ikke tilhører Tobiassen. Zecurecode.com er et domene som som tilbyr blant annet offentlig lesing av eposter som ikke er sendt til en eksisterende epostadresse, som mailinator.com.

E-posten, som inneholdt detaljer om en inkassosak og informasjon om en Xplora barneklokke, ble sendt til adressen tobiasop1@zecurecode.com, en adresse som aldri har tilhørt Tobiassen. Zecurecode.com er et domene som administreres av InfoDesk AS og driftes av Open Info. På grunn av en «catch-all»-funksjon, som fanger opp alle e-poster sendt til ikke-eksisterende adresser, havnet den sensitive informasjonen i en felles pool tilgjengelig for et stort antall teknikere, freelancere og utviklere.

Collectia skylder på kunden – Tobiassen slår tilbake

I en uttalelse til Nettsak.no fastholder Collectia at feilen skyldes at Tobiassen selv oppga feil e-postadresse. Selskapet hevder de har fulgt sine rutiner og skyver ansvaret over på kunden.

Tobiassen avviser på det sterkeste Collectias forklaring. «Jeg har aldri oppgitt feil e-postadresse. Dette er et pinlig forsøk på å fraskrive seg ansvar,» sier en opprørt Tobiassen. Han kan dokumentere at han har oppgitt korrekt informasjon og mener Collectias håndtering av saken er intet mindre enn en skandale.

Inkassobrev til tidligere arbeidsgiver: En hån mot personvern

Collectia forsøker også å rettferdiggjøre at de sendte informasjon til Tobiassens tidligere arbeidsgiver, med henvisning til at han tidligere var ansatt i ZecureCode. «Dette er en arrogant praksis og viser en total mangel på respekt for grunnleggende personvern,» raser Tobiassen.

Eksponerte barns personopplysninger: En særlig alvorlig hendelse

Databruddet har rammet en Xplora-kunde med barneklokke og abonnement. Informasjonen som er lekket, kan potensielt misbrukes til identitetstyveri, svindel og andre kriminelle handlinger. Det er særlig alvorlig at barns personopplysninger er på avveie, noe som gjør bruddet enda mer alvorlig.

Grovt brudd på GDPR: Manglende kontroll i bransjen

Databruddet representerer et grovt brudd på EUs personvernforordning (GDPR), som stiller strenge krav til beskyttelse av personopplysninger, spesielt når det gjelder barn. Hendelsen avdekker også en alvorlig mangel på kontroll i bransjen, der selskaper ser ut til å ha en svært svak etterlevelse av personvernreglene.

Nettsak.no krever handling og ansvar

Nettsak.no krever at Collectia og Xplora umiddelbart tar ansvar for lekkasjen, informerer alle berørte kunder og iverksetter tiltak for å hindre lignende hendelser. Vi stiller også spørsmål ved bransjens praksis generelt og behovet for strengere tilsyn.

Intervju med Tobias Tobiassen: «Dette kan være toppen av isfjellet»

I et eksklusivt intervju med Nettsak.no uttrykker Tobias Tobiassen sin dypeste frustrasjon og sinne:

«Jeg er sjokkert og rasende over at mine og mitt barns personopplysninger har havnet i hendene på uvedkommende. Dette er et grovt tillitsbrudd, og jeg krever at Collectia og Xplora tar sitt ansvar. Jeg har dokumentasjon som viser at jeg har oppgitt korrekt informasjon, og Collectias bortforklaringer er en ren avledning fra sakens kjerne.»

Tobiassen forklarer videre at han jobbet i ZecureCode AS frem til 2022 og da hadde e-post adressen tobias@zecurecode.com. Etter han sluttet har han hatt tobias@op1.no som sin e-post adresse. Han forteller at det er ingenting som skulle tilsi at Collectia skulle ha brukt epost adressen tobiasop1@zecurecode.com. Tobiassen mener selv at de har slått sammen hans 2 epost adresser, og det er årsaken til at informasjon har blitt lekket ut til feil epost adresse.

«Dette kan være toppen av isfjellet. Hvis de har gjort denne feilen med meg, hvor mange andre har de gjort det med? Det er en systemsvikt, og det viser at selskapene ikke tar personvern på alvor. Jeg føler meg fullstendig maktesløs.»

Hva kan du gjøre hvis du er berørt?

Hvis du er Xplora-kunde og mistenker at dine personopplysninger har blitt lekket, bør du:

Ta umiddelbart kontakt med Xplora og Collectia for informasjon om din sak.
Endre passord og annen sensitiv informasjon.
Være ekstra oppmerksom på mistenkelige e-poster og svindelforsøk.
Kontakte Datatilsynet for å rapportere bruddet.

Nettsak.no følger saken tett og krever svar

Nettsak.no vil fortsette å dekke denne alvorlige saken og kreve svar fra Collectia, Xplora og relevante myndigheter. Vi vil holde våre lesere oppdatert om utviklingen.

Det er viktig å merke seg at både Xplora og Collectia ble varslet om denne saken i forkant av publiseringen. Begge selskapene har svart på henvendelsen og hevder at de ikke anser hendelsen som et lovbrudd. Xplora har til og med krevd at artikkelen avpubliseres. Denne holdningen, spesielt Xploras oppfordring til Nettsak.no om å kontakte Datatilsynet, reiser alvorlige spørsmål om selskapets forståelse og respekt for GDPR.

Spørsmål ignorert

Hverken Xplora eller Collectia har besvart de spesifikke spørsmålene som ble stilt i e-posten fra Nettsak.no:

Hvordan kunne dette personvernbruddet skje?
Hvilke tiltak har dere iverksatt for å hindre lignende hendelser i fremtiden?
Har dere varslet Datatilsynet og de berørte partene om hendelsen?
Hvilke rutiner har dere for å sikre at personopplysninger ikke deles utilsiktet?
Har dere vurdert å kompensere de berørte partene for eventuelle konsekvenser av lekkasjen?

Både Xplora og Collectia har blitt informert om publiseringen av denne artikkelen, og har fått muligheten til å gi en replikk.

Kildegrunnlag og transparens

Kildegrunnlaget for denne saken er en e-post sendt til en offentlig tjeneste driftet av Open Info på vegne av ZecureCode AS. Open Info driver nettavisen Nettsak.no. Andre kilder er Tobias Tobiassen, og InfoDesk AS sin AI-tjeneste er brukt for å analysere saken opp mot norsk lovgivning. InfoDesk AS sin AI-tjeneste er videre brukt til å bistå med generering av artikkelinnhold, kontrollert av forfatteren.

Del:

Les også...

Gründer Odd André gjør comeback i netthandel etter oppkjøp av Enklere Kontor AS – Satser på innovative løsninger for moderne kontorarbeid

Kvante- og AI-Revolusjonen: Hva Kommer Neste?

Donald Trumps AI-politikk og Dets Potensielle Innvirkning på ChatGPT og OpenAI-tilgang i Norge

TIps oss

Følg oss på Instagram

Ansvarlig utgiver

Open info

Personvernerklæring