I måndags kunde Arbetet avslöja att fackförbunden IF Metall, Akavia och Pappers, med över 400 000 medlemmar, haft en allvarlig brist i sina inloggningssystem för medlemmar.

Bristen har gjort det möjligt att kartlägga vem som är medlem i facket eller inte. 

Nu kan Arbetet avslöja att även Journalistförbundets knappt 14 000 medlemmar har gått att kartlägga på ett liknande sätt. Det via förbundets medlemstidning Journalisten.

– Det här är självklart väldigt allvarligt eftersom fackligt medlemskap är en integritetskänslig uppgift, säger Journalistförbundets ordförande Ulrika Hyllert.

Tidningen Journalisten har plusmaterial som medlemmar kan ta del av genom att logga in med bank-id. Men inloggningssystemet har haft samma brist som hos de tre fackförbunden.

Ett försök att logga in med ett personnummer som tillhör en icke medlem har gett ett felmeddelande, redan innan någon identifikation skett.

Säkerhetsluckan åtgärdades

Några timmar efter att Arbetet berättat om säkerhetsluckan för tidningens chefredaktör och vd Axel Andén är bristen åtgärdad.

– Det var stressigt innan vi visste hur lång tid det skulle ta. Alternativet hade varit att stänga ner inloggningen, och då hade vi behövt berätta varför. Då hade vi dragit på oss en uppmärksamhet som kunnat leda till att folk testat, med osäkerheten i om det var helt avstängt, säger han på tisdagseftermiddagen.

Enligt honom har centralorganisationen TCO:s dataskyddsombud informerats av Journalistförbundet om säkerhetshålet.

– Jag ska nu ta kontakt med dem och fråga hur vi ska agera, förutom att vi ska berätta om det journalistiskt.

”Det är allvarligt”

Säkerhetshålet har legat uppe sedan sajten gjordes om, vilket innebär några år.

Enligt Axel Andén kan tidningens webbyrå inte se några tecken på att hålet utnyttjats på ett systematiskt sätt.

– Men om någon gjort en enskild sökning är omöjligt att veta.

Axel Andén, chefredaktör och vd för Journalisten.
Axel Andén, chefredaktör och vd för Journalisten. Bild: Jonas Eng

Hur allvarligt är det här?
– Det är allvarligt såklart. Det är ingen som ska veta om man är med i Journalistförbundet eller inte. Att det finns ett säkerhetshål på Journalisten är väldigt beklagligt. Vi är glada att det är en etisk aktör som avslöjar det här och inte en oetisk.

Journalistförbundet: ”Sårbart”

Enligt Journalistförbundets ordförande Ulrika Hyllert har medlemsregistret hela tiden funnits digitalt hos förbundet. Men medlemstidningen har haft tillåtelse att skicka en fråga till registret varje gång någon vill logga in på sajten.

Ulrika Hyllert säger att de har ett så kallat biträdesavtal med tidningen, ett avtal som reglerar hantering av personuppgifter.

De har även gjort en konsekvensbedömning för att fånga upp eventuella risker med hanteringen.

– Vi har verkligen gjort det här enligt konstens alla regler. Men så finns en detalj i det här där det varit en säkerhetslucka. Det visar hur sårbart det kan vara i en digital värld med den här typen av uppgifter, säger hon.

Händelsen ska anmälas till Integritetsskyddsmyndigheten, IMY. Men enligt Hyllert har förbundet och tidningen ännu inte kommit fram till vilken av de två organisationerna som ska skicka in den.