Golfliiton rekisterissä tietoturvapoikkeama – osa pelaajista on voinut nähdä kolmen kuukauden ajan järjestelmässä toisen pelaajan tietoja

Golfliiton on tehnyt tietoturvapoikkeamasta ilmoituksen tietosuojavaltuutetulle.

Golfliiton keskusrekisterijärjestelmässä havaittiin toukokuun puolivälissä tietoturvapoikkeama, jonka takia yksittäinen pelaaja on voinut tahattomasti nähdä toisen yksittäisen pelaajan henkilötietoja. Tällaisia tietoja ovat olleet ainakin pelaajan nimi, syntymäaika, yhteystiedot ja tasoitus.

Ongelma on toistunut kaikissa kolmessa seurahallintajärjestelmässä eli NexGolfissa, WiseGolfissa ja GolfBoxissa. Golfliiton selvityksen mukaan on ilmennyt noin 50 tapausta, jotka ovat voineet noin kolmen kuukauden ajan nähdä toisen yksittäisen pelaajan henkilötietoja.

Tietoturvapoikkeaman aiheutti keskusrekisterissä ollut koodivirhe, jonka vuoksi keskusrekisteriin tuodut uusien jäsenten tiedot ylikirjoitettiin vanhojen jäsentietojen päälle. Tämän seurauksena golfseurasta eronneet jäsenet ovat saattaneet nähdä omien tietojen sijaan vanhan seuransa jäsennumeron perineen uuden jäsenen henkilötietoja, kun he ovat tarkastelleet seurahallintajärjestelmästä omia tietojaan.

”Ongelma syntyi niille pelaajille, joiden jäsennumero oli kierrätetty uudelle pelaajalle tämän vuoden tammikuun lopun ja huhtikuun lopun välisenä aikana”, Golfliiton tiedotteessa ilmenee.

Henkilötietojen tietoturvapoikkeamalla tarkoitetaan muun muassa sitä, että henkilötietoihin pääsee käsiksi taho, jolla ei ole siihen oikeutta.

Ongelma on luonnollisesti haitannut myös sen piirissä olevien pelaajien ajanvarausta, tasoituskierrosten syöttöä sekä kilpailuihin ilmoittautumista, koska omien tietojen sijaan järjestelmässä löytyy väärän ihmisen tiedot.

Ongelmaa ei ole saatu vielä täysin korjattua, mutta Golfliitto korjaa sitä yhdessä seurahallintajärjestelmien toimittajien kanssa.

”Mistään vakavasta ei ole kysymys”

Toiminnanjohtaja Juha Korhonen kertoo, että Golfliitto teki asiasta ilmoituksen tietosuojavaltuutetulle varmuuden vuoksi viime viikon torstaina. Koodivirheen aiheuttama ongelma oli havaittu kaksi päivää aiemmin.

”Meidän ymmärrys on, että tässä ei ole kyse mistään vakavasta”, Korhonen sanoi GoGolfille.

Korhosen mukaan esimerkiksi yrityksillä on korkea kynnys ilmoittaa vastaavanlaisista tietoturvapoikkeamista tietosuojavaltuutetulle.

”Tietosuojavaltuutettu ei odota tällaisista ilmoitusta. Haluttiin kuitenkin oma tausta varmistaa, että toimitaan täysin avoimesti ja ilmoitetaan kaikista poikkeamista.”

”Todennäköisesti tapahtuu niin, että (tietosuojavaltuutetun toimisto) lähettävät meille sähköpostin, jossa kerrotaan, että asia on rekisteröity, eikä aiheuta jatkotoimenpiteitä”, Korhonen ennakoi.

GoGolf ei tavoittanut perjantaina iltapäivällä tietosuojavaltuutetun toimistosta ketään kommentoimaan asiaa.