Hacker misbruger jobnet til at rippe ledige

5. dec 2012, 11:30
Fuparbejdsgiver fik adgang til lediges mail via jobnet.dk: Tjen 4000 euro som byrepræsentant

Indtil 10. november kunne hvem som helst oprette sig som arbejdsgiver på Jobnet og få adgang til mange tusinde arbejdsløses cv og personlige oplysninger.

Det betød blandt andet, at et ukendt antal arbejdsløse fik fup-jobtilbud via e-mail i august:

”Goddag. Vi søger en repræsentant i Deres BY, Arbejdet er således indrettet at det ikke forstyrrer dit nuværende job, og der er intet stress. Vi tilbyder en månedsløn på 4000 Euro.”

Sådan lød det lokkende tilbud, der fortsatte: ”Send mig en mail og få yderligere information. Med venlig hilsen." Mailen blev nogle dage efter fulgt op med en ny mail: "Hello, Did you receive my last email regarding the J0b offered."

”Jobtilbuddene” fik en række ledige til at klage til Arbejdsmarkedsstyrelsen, der har ansvaret for Jobnet.dk.

Mailadresserne stammede fra jobnet.dk, hvor de stod på personernes cv. Ledige har pligt til at lægge deres cv på Jobnet.dk, og selvom det ikke er tvunget, står der på jobnet, at "Det er vigtigt, at dit navn, adresse, telefonnummer og e-mail-adresse fremgår af dit CV, så en arbejdsgiver let kan få fat på dig."

Tilbage i 2009 havde Arbejdsmarkedsstyrelsen store problemer med virksomheder, der fik fat i email-adresser via jobnet.dk og spammede dem med falske jobtilbud, pyramidespil og tilbud om køb af anparter.

Dengang forlød det, at op mod 150.000 menneskers e-mail-oplysninger var blevet hentet fra Arbejdsmarkedsstyrelsens base over ledige.

Sagen er politianmeldt

Arbejdsmarkedsstyrelsen har politianmeldt den nye sag, men personen bag er ikke blevet fundet.

Det fortæller Birte Iversen, kontorchef i Kontoret for Digital Arbejdsmarkedsservice i Arbejdsmarkedsstyrelsen.

Personen bag havde bare oprettet en ny underafdeling med fiktive oplysninger under et firma, der eksisterende i forvejen, men intet kendte til de favorable tilbud om 4000 euro.

Arbejdsmarkedsstyrelsen spærrede for brugeren og lukkede i en periode for, at arbejdsgivere kunne oprette sig med selvbetjening på Jobnet.dk.

Der er først blevet åbnet for selvbetjening igen, efter man fra 10. november har skullet bruge NemId for at oprette sig som arbejdsgiver.

Niels Ole Finneman, leder af center for internetforskning ved Aarhus Universitet, mener, at Jobnet er forpligtet til at beskytte oplysningerne fra de ledige

"Man skal dels oplyse, hvem der kan få adgang til de oplysninger, man lægger ind, og på hvilke betingelser, og dels beskytte mod misbrug af personernes oplysninger. Jeg synes, det lyder som om, sikkerheden har været for sløset," siger Niels Ole Finneman.

I 2009 havde Arbejdsmarkedsstyrelsen et møde med Datatilsynet efter problemerne med Jobnet, om hvad man kunne gøre IT-mæssigt for at sætte en stopper for misbruget. E-mailadresser er ikke personfølsomme oplysninger, men skal alligevel behandles ansvarligt.

Datatilsynet: Reglerne forbliver de samme

Direktør i Datatilsynet Janni Christoffersen har ikke siden hørt om problemer med Jobnet.

"Men det er naturligt, at der efter en periode bliver fundet smutveje til at omgå sikkerhedsforanstaltningerne igen. Men som jeg kan forstå, så har Arbejdsmarkedsstyrelsen taget hånd om det med det samme, og været sig sit ansvar bevidst," siger Janni Christoffersen.

Kirsten Iversen fra Arbejdsmarkedsstyrelsen mener ikke, der er brug for at ændre reglerne, så alle 70.000-80.000 arbejdsgivere, der allerede er oprettet, alle skal logge ind med NemID.

”AMS har ikke fundet anledning til, at gøre det obligatorisk for eksisterende virksomheder at overgå til at anvende NemID erhverv. Det er vores vurdering, at indførelse af obligatorisk brug af NemID erhverv eller digital medarbejdersignatur i forbindelse med oprettelse har løst problemet,” siger hun i en mail til Avisen.dk.