Hjælp, min LinkedIn-konto er hacket!

LinkedIn ser stort på GDPR, når profiler skal gendannes. Det er helt på eget ansvar, når du skal identificere dig over for et af verdens største sociale medier, skriver Jakob Dedenroth Bernhoft i ’Privacy på spidsen’.

En af mine kollegaers LinkedIn-konto blev for nyligt lukket, da de mente, den var blevet hacket. LinkedIn bad om, at passwordet blevet ændret. Det giver god mening. Hvis der er uvedkommende, som har password, så er det da bare med at få det ændret. Men efter det blev ændret, lød beskeden, at min kollega skulle identificere sig for igen at få adgang til kontoen. Og her opstår der problemer i forhold til GDPR, EU’s meget hypede persondataforordning. Den overholder LinkedIn ikke. (!)

Det giver god mening, at LinkedIn beder om ID på den, som udgiver sig for at være den rette ejermand af en hacket LinkedIn-konto. For hvordan kan de egentlig vide, at det var den retmæssige ejer af profilen? Når nu LinkedIn beder om kopi af pas eller kørekort, så skal alle GDPR-alarmklokkerne imidlertid begynde at ringe.

At sende kopi af fortrolige oplysninger som password til nogen, man dybest set ikke ved, hvem er, uden at vide hvor det bliver gemt, hvor længe det bliver gemt, hvilke sikkerhedsforanstaltninger der er forbundet med det, og hvem som har adgang til det… det lyder ikke, som verdens bedste ide. Særligt ikke, når man ser LinkedIns track record for databrud. Spøgsmålet er da også, om mindre ikke kan gøre det? For eksempel at sende en mail fra en mailkonto, som offentligt fremgår knyttet til vedkommendes person. Det kunne for eksempel være en arbejdsmail.

Millioner adgangskoder stjålet
Hackere stjal i 2012 6,5 millioner krypterede adgangskoder fra LinkedIn og sendte dem til et russisk forbrydelsesforum. I 2016 fandt LinkedIn ud af, at problemet var langt større: Nogle hackere hævdede at være i besiddelse af e-mail- og hashed-adgangskombinationer af mere end 100 millioner LinkedIn-medlemmer fra samme tyveri i 2012.

LinkedIn oplyser på deres hjemmeside at de ’arbejder på at sikre, at deres produkter og tjenester overholder GDPR’. De skriver altså ikke, at de rent faktisk overholder GDPR. For eksempel skriver de om lande, hvor de foretager databehandling: ”Lande, hvor vi behandler data, kan have lovgivning, der er anderledes og muligvis ikke så beskyttende som lovene i dit eget land.”

Ikke så betryggende…

Pistolen for panden
Om man så tør sende kopi af pas eller kørekort, hvis ens LinkedIn-konto bliver hacket, er jo selvfølgelig op til den enkelte, men man har lidt pistolen for panden. LinkedIn skriver et sted:

”Du kan for det meste genåbne din konto, hvis den har været lukket mindre end 20 dage, men vi kan ikke gendanne følgende, selvom din konto genåbnes:

  • Anerkendelser og anbefalinger
  • Ignorerede og ventende invitationer
  • Profiler, du følger (Influencers, virksomheder osv.)
  • Gruppemedlemskaber”

Efter 30 dage bliver profilen helt slettet.

Hvad gør man?
Det er ikke unormalt, at sociale netværk beder om ID på den, som kræver at være den retmæssige ejer af en hacket konto. Facebook gør eksempelvis det samme, hvis en person er død, og familien vil have lukket eller overtage kontoen. I de situationer beder de om en dødsattest.

Så hvad gør man? Det er lidt et valg mellem pest og kolera. Enten skal man risikere, at ens fortrolige personoplysninger falder i de forkerte hænder, eller også må man se sin LinkedIn-konto forsvinde. Hvis man godt tør udlevere fortrolige persondata til LinkedIn, kan du følge deres guide her.

Sørg for at følge deres guide til upload frem for at sende ID på e-mail. Mailen vil være mere sårbar end en upload i deres system. Prøv eventuelt at overstrege de sidste fire cifre i CPR-nummer og kørekort-nummeret og se, om ikke de alligevel godtager din fremsende dokumentation.

Tags

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle