Hand håller upp en mobil med Avanzas app.En Facebook-funktion ledde till att Avanzas kunders personuppgifter skickades till Facebook. Läckan ska ha pågått sedan Avanza slog på Facebook-funktionen 2019 och alla som har ansökt om lån under den tidsperioden har fått sin information hashasad till Facebook. Foto: Adam Hoglund/Shutterstock.com

Kreditbolag

Nätbanken Avanza läckte personuppgifter till Facebook under ett helt år på grund av en felaktig inställning. Nu har banken slagit av Facebook-funktionen och anmält sig själva till Integritetsskyddsmyndigheten, rapporterar Sveriges Radio Ekot.

En felaktig inställning hos Avanza har lett till att Facebook fått ta del av Avanzakunders personuppgifter och information om befintliga lån. 

Personuppgifterna skickades till Facebook

Avanza har över en miljon kunder i Sverige och Sveriges Radio Ekots granskning visar att de uppgifter som läckt till Facebook är bland annat personuppgifter, mejladresser och detaljer ur låneansökningar. Det innebär att de kunder som har ansökt om lån hos Avanza har fått information om sina befintliga lån och personuppgifter skickade till Facebook.

Läckan ska ha pågått i ett och ett halvt år och den som ansökt om lån under den tidsperioden ska alltså ha fått sitt personnummer skickat till Facebook. 

Stängde av Facebook-funktionen

Avanza stängde av Facebook-funktionen efter att Ekot kontaktade dem och påpekat detta. Inledningsvis förnekade Avanza att de har läckt kunders personnummer. Först efter att Ekot förklarat granskningen och hur informationen har lämnat Avanza bekräftar banken att det har skett.

Avanzas vd, Rikard Josefson säger till Ekot att de är glada att de blivit uppmärksammade angående läckan. Att Facebook-funktionen var påslagen ska vara ett handhavandefel.

Avanza slog på Facebook-funktionen i slutet på 2019 och sedan dess har antalet kunder ökat med cirka en halv miljon. En stor del av dessa kunder har fått sina personuppgifter skickade till Facebook, enligt Rikard Josefson.

Kunduppgifterna har hashats till Facebook

Uppgifterna har inte skickats till Facebook direkt utan de har hashats, vilket enligt Rikard Josefson utgör ett skydd. Uppgifter som hashas innebär att Facebook måste ta fram eller ha uppgifterna för att kunna se informationen som har skickats från Avanza. 

Men även hashad information innehåller personuppgifter, enligt Integritetsskyddsmyndigheten. Det kan vara svårare eller lättare att göra om informationen till klartext beroende på vilken information som har hashats.

Avanza har slagit av funktionen och anmält sig själva till Integritetsskyddsmyndigheten.

Alexandra Stenvall
Alexandra Stenvall Ekonomiskribent