12.000 folkeskoleelever skal skifte kodeord efter hack

Illustration: Andrey Khokhlov/Bigstock
Folkeskoleelever i Vejle Kommune skal skifte kodeord, efter at en elev har hacket systemet, oplyser kommunen.

Vejle Kommune er ifølge en pressemeddelelse fra kommunen blevet udsat for et hackerangreb fra en folkeskoleelev.

Ifølge meddelelsen er det en elev på en af kommunens skoler, der står bag angrebet.

Kommunen oplyser, at sikkerhedsbruddet indebærer en risiko for, at der kan være uretmæssig adgang til elevers data på flere systemer: ElevIntra, MinUddannelse og Google Drev.

Vejle Kommune oplyser, at eleven har kunnet tilgå andre elevers opgaver, præsentationer og elevmapper.

Som konsekvens af hændelsen, der blev opdaget 18. juni, har kommunen besluttet, at alle elever skal skifte kodeord.

12.000 elever påvirket

Ifølge Fredericia Dagblad er det 12.000 elever, der skal skifte kodeord.

»Vi har ingen begrundet mistanke om, at oplysningerne er delt eller spredt,« siger Ulla Riisbjerg Thomsen, chef for Uddannelse & Læring i kommunen, ifølge pressemeddelelsen.

Af meddelelsen fremgår det dog også, at der er en teoretisk mulighed for, at oplysninger fra systemet ElevIntra kan være delt med andre.

Og derfor har kommunen besluttet, at alle elever skal skifte password til UNI-Login - et digitalt id, som giver adgang til elevsystemet.

»Vi er godt klar over, at det er en gene for eleverne at skulle skifte password her op til sommerferien. For at sikre, at det sker på den mest smidige måde, så har forvaltningen nulstillet alle passwords til UNI-Login i dag,« udtaler Ulla Riisbjerg Thomsen ifølge meddelelsen og fortsætter:

»Derudover har vi bedt skolernes ledelse om at sikre, at eleverne får deres nye password inden sommerferien. En lærer eller pædagog vil sikre, at det sker som en fælles opgave på klasserne.«

Fredericia Dagblad har spurgt Ulla Riisbjerg Thomsen, om det som følge af angrebet eksempelvis har været muligt at få adgang til cpr-numre.

»Nej, ikke som udgangspunkt. Men det er umuligt at garantere, at der ikke er en af kommunens 12.000 skoleelever, som måske har skrevet cpr-nummer på en opgave eller præsentation. Derfor vælger vi at lukke Uni-Login helt ned, så alle skal logge sig ind med ny kode,« siger Ulla Riisbjerg Thomsen til Fredericia Dagblad.

Version2 vil forsøge at følge op med flere tekniske detaljer i forhold til hændelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Lysemose

Hvad baserer du det på?
Da jeg for længe siden gik i folkeskole fandt jeg admins brugernavn og kodeord i klar tekst i en fil i menusystemet (det var før Windows).
Den dag i dag kan man finde db login+password I klar tekst i Excel filer.
Der er masser af sjuskede programmører og sjuskede administratorer i verden. Men kommunen har klart interesse i at få det til at fremstå som om det var meget svært at "hacke" dem.

Mogens Lysemose

Jeg husker nu at alle får udleveret et brugernavn og default password og modsat normalt så FRARÅDER skolerne at man skifter password, fordi lærerne har lister med kodeord (små elever kan ikke huske den slags) og kontoret har lister med alle kodeord. Så hvis "hackeren" her har fået adgang til den totale liste med kommunens 12.000 uni login kodeord kan det forklare sagen. Den liste kan jo have ligget på et usikkert share et sted eller på en webserver.
Alternativt kan eleven have opnået kommunens administrator-adgang i unilogin og kunnet aflæse samtlige koder der.

Dansk standard for it-sikkerhed 2019.

Rasmus Li

Tilbage til min tid i folkeskolen var alle lærere lokal admins på diverse computere på skolen. Dengang måtte vikare ikke få deres eget login, så de anvendte alle sammen det samme gamle login - resulterede hurtigt i at de fik udleveret en post-it note med brugernavn og passwordet på brugeren.
Engang i juletiden blev en gut fra min parallelklasse anklaget for at "hacke" skolens systemer, efter han snuppede en af de mange post-it notes, og brugte det uni login til at sende en Shutdown commando til samtlige af skolens computere samme tid + et par nedgørende kommentarer omkring lærere og elever osv.

Ser man bort fra selve shutdown kommandoen, havde han haft adgang til et par drev eller 10, hvori samtlige klasseelevers uni logins lå i plaintext, så læren hurtigt kunne printe dem ud ved opstart af en nyt skoleår. Han valgte derefter at printe et par af siderne ud på skolens bibliotek, hvorefter han loggede ind på folks elevintra.

Som du også nævner, så ligger de lister med garanti gemt på et "skjult" men usikkert share, hvor alt og alle har frit adgang, hvis de finder frem til det.

Bjarne Nielsen

Jeg husker nu at alle får udleveret et brugernavn og default password og modsat normalt så FRARÅDER skolerne at man skifter password, fordi lærerne har lister med kodeord (små elever kan ikke huske den slags) og kontoret har lister med alle kodeord.

Det har du nok ret i, men der er så mange ting galt her:

  1. Hvorfor bygger man systemerne op om en antagelse om, at elever har et password, når man i praksis ved, at "små elever kan ikke huske den slags"?
  2. Har man tænkt over, hvad man lærer eleverne, når man på den måde indpoder dårlig praksis ved deres første møde med IT? Hvordan skal vi nogensinde få banket sikker opførsel ind i hovedet på de generationer, som er blevet opdraget af skolen til det stik modsatte?
  3. Hvordan vil man føre tilsyn med adgange i et system, hvor det er almindelige praksis at have lister med kodeord på den suverænt største brugergruppe?
  4. Hvordan vil man sikre, at personoplysninger ikke tilgås uberettiget, når kodeordslister deles på denne måde?

Indkald Statsrådet - det er intet mindre end Danmarks førerplads som digitaliserings-frontrunner, som er på spil her! (OK, der spændte jeg vist buen for højt :-) ).

Log ind eller Opret konto for at kommentere