De Zweedse verzekeraar Trygg-Hansa heeft van de Zweedse privacytoezichthouder IMY een boete van omgerekend 2,9 miljoen euro gekregen wegens een datalek dat door een IDOR-kwetsbaarheid ontstond. Bijna twee en een half jaar lang was het mogelijk om de persoonlijke gegevens van 650.000 klanten in te zien door alleen een paar getallen in de URL te veranderen.

IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.

In het geval van Trygg-Hansa was het iemand die een e-mail met een verzekeringsvoorstel had ontvangen. De link in de e-mail wees naar een pagina met daarop verschillende links die wezen naar verzekeringsdocumenten. Alleen het aanpassen van een paar getallen in de URL bleek voldoende om de verzekeringspolissen van andere klanten te bekijken. Het ging daarbij ook om gevoelige gezondheidsgegevens, waaronder de oorzaak van gezondheidsproblemen en informatie over de aandoeningen.

Verder ging het ook om financiële informatie, contactgegevens en burgerservicenummers. Het probleem bleek van oktober 2018 tot en met februari 2021 in de systemen van verzekeraar Moderna Försäkringar aanwezig te zijn. Het bedrijf fuseerde in april vorig jaar met Trygg-Hansa. Volgens de Zweedse privacytoezichthouder was de slechte beveiliging van zo'n fundamentele aard dat het bedrijf de kwetsbaarheid voor de introductie van het systeem zelf had moeten vinden. Door het ontbreken van gepaste technische beveiligingsmaatregelen in relatie tot het risico is een boete van 2,9 miljoen euro volgens de IMY gepast.