Under flera år har inloggningen till medlemssidorna hos fackförbunden IF Metall och Akavia gått till så att man knappar in sitt personnummer och om man är medlem ombeds man att identifiera sig med bank-id.
Om man inte är medlem har man i stället fått ett felmeddelande. Det innebär att det gått att knappa in ett personnummer och på så sätt avgöra om någon är medlem genom att se om man ombeds identifiera sig eller inte. Det rapporterar Arbetet.
Fackförbunden uppmärksammades på säkerhetshålet när tidningen ställde frågor under måndagen och då stängde både Akavia och IF Metall snabbt ner sina medlemssidor.
Jesper Pettersson, pressansvarig på IF Metall säger att det pågår ett arbete med att bygga om systemen.
– Är man orolig för hur personuppgifter behandlas och hur man kommer att hantera dem i fortsättningen har vi ett dataskyddsombud som man kan kontakta. Vi kommer också själva att att anmäla det till Integritetskyddsmyndigheten, säger han.
Även Akavia meddelar att man nu skyndsamt utvecklar en ny inloggningsfunktion till sina medlemssidor.
”Vi ser allvarligt på den sårbarhet ni identifierat, det ska inte vara möjligt ens i teorin att få indikation på annan persons medlemskap i en facklig organisation”, skriver Akavia i ett mejl till Arbetet.
Fackförbundet Pappers har ett liknande säkerhetshål men där har det krävts lite mer it-kunskap för att se skillnaden på hur systemet hanterar en medlem och en icke-medlem. Några timmar efter att Pappers fått information om sårbarheten ska den ha åtgärdats enligt förbundet.
Totalt har de tre fackförbunden 400 000 medlemmar.