Annonce
Tønder

IT-brist på Tønder Gymnasium: Elevers CPR-numre lå frit tilgængelige

En sikkerhedsbrist i IT-systemet på Tønder Gymnasium betød, at eleverne i en periode kunne søge på hinandens CPR-numre. Arkivfoto: Hans Chr. Gabelgaard 
Knap 540 elever på Tønder Gymnasium har haft adgang til CPR-numre på deres medstuderende. Et skemaprogram havde en brist.
Annonce

Tønder: Knap 540 elever på Tønder Gymnasium har haft adgang til CPR-numre på alle deres medstuderende. Det bekræfter rektor på Tønder Gymnasium, Anna Amby Frejbæk overfor JydskeVestkysten.

- Det er ganske rigtigt. Det er vores skemaprogram, som hedder Ludus, som havde en brist. Hvis man havde lidt snilde, kunne eleverne gå ind og søge på andre elevers personnumre. Vi har ikke hørt om nogen, der har gjort det, men det var selvfølgelig helt forkert, at det kunne lade sig gøre, siger Anna Amby Frejbæk.

Platformen Ludus, som er et skema- og  fraværsprogram, kan også bruges til at eleverne kan sende beskeder til hinanden, og det er i beskedfunktionen, at elever har kunnet finde frem til deres medstuderendes CPR-numre.

- Vi ved faktisk ikke hvor længe det sikkerhedsbrud har været der, men vi ved, at det blev standset omkring den 12. august. Da kom Ludus med en opdatering, hvor de fik lukket det sikkerhedshul, fortæller rektor Anna Amby Frejbæk.

Det er den amerikanske it-gigant DXC Technology, som driver Ludus, og det er i selve systemet, at fejlen er opstået, og altså ikke i Tønder Gymnasiums it-system. DXC Technology har ikke svaret på JydskeVestkystens henvendelser, men selskabet har tidligere overfor net-mediet ItWatch fortalt, at man har løst problemet og sikret, at det ikke opstår igen. Producenten siger endvidere til ItWatch, at man ingen viden har om, at funktionen skulle være blevet misbrugt.

Annonce

Mindre alvorligt

Henrik Kramse-Lund, som er rådgiver i it-sikkerhed i firmaet Zencurity, siger til JydskeVestkysten, at bristen på Tønder Gymnasium er i den mindre alvorlige afdeling.

- Det lader til, at det har været en funktion, som er dårligt designet. Det er mindre alvorligt end eksempelvis en systemfejl, hvor man kan hente data eller måske den fulde database. Så man har kunnet fremsøge elevers CPR, men da mulighederne for misbrug af CPR er blevet mindre, er det også lidt mindre alvorligt. Konklusionen er nok, at det er noget skidt, men at det er lukket hurtigt, siger Henrik Kramse-Lund.

Sagen er anmeldt til Datatilsynet, som har vurderet, at der er tale om en relativt teknisk fejl, som er knyttet til platformen. Derfor har tilsynet i første omgang lukket sagen overfor skolerne, som har indberettet fejlen. I stedet har tilsynet taget kontakt til DXC for at få forklaret årsag og omfang af problemet, oplyser Datatilsynet.

Annonce
Annonce
Annonce
Annonce
Forsiden netop nu
Indland

Nu kan du få dit kørekort på mobilen

Danmark

Jesper Petersen bliver ny statsrevisor

Annonce