13.000 skoleelever kunne søge hinandens CPR-numre frem i DXC-system

Eleverne på seks ungdomsuddannelser har kunnet finde frem til hinandens CPR-numre i studiesystemet Ludus, som bliver leveret af DXC. Leverandøren har beklaget, og fejlen er rettet.

Mere end 13.000 skoleelever fordelt på mindst seks forskellige ungdomsuddannelser har kunnet tilgå hinandens CPR-numre via en studieplatform ved navn Ludus.

Det skriver ITWatch.

Ludus bliver blandt andet brugt til at administrere fravær og skoleskemaer, og det er i systemets beskedfunktion, at de studerende har kunnet søge hinandens CPR-numre frem.

Det er it-virksomheden DXC, der står bag Ludus, og i en mail til ITWatch oplyser leverandøren, at problemet er løst, og at det ikke kan opstå igen. Derudover er der ifølge DXC ikke noget, som tyder på, at oplysningerne er blevet misbrugt.

»Vi har gennemført en dybdegående analyse, hvor problemstillingen er identificeret og løst samt sikret, at samme problemstilling ikke kan opstå igen. Vi har ikke nogen indikationer på at sensitiv persondata er blevet kompromitteret eller misbrugt,« skriver DXC i en mail til ITWatch.

Fejlen i Ludus er også havnet på myndighedernes bord. I forbindelse med sagen har Datatilsynet taget kontakt til DXC for at få oplyst, hvordan fejlen er opstået, og hvor stort problemets omfang har været.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Gert Madsen

Som er træt af:

"Vi har ikke nogen indikationer på at sensitiv persondata er blevet kompromitteret eller misbrugt".

Åh, så problemet er ikke rapporteret af en bruger, men er noget som selskabet helt af sig selv har opdaget?

Skal der ikke snart stoppes for disse lamme undskyldninger, for ikke at give de berørte direkte besked?

  • 22
  • 1
#3 Niels Larsen-Ledet

Der er ikke tale om, at man kunne læse en oversigt over personnumre. Brugere, der var logget ind, kunne fremsøge en elev, og så kunne man se det navn, der var knyttet til det personnummer, man havde indtastet.

Muligheden for at søge med personnummer blev straks fjernet for elever og lærere, og skolerne blev orienteret samtidig.

  • 2
  • 1
#5 Sune Marcher

»Vi har gennemført en dybdegående analyse, hvor problemstillingen er identificeret og løst samt sikret, at samme problemstilling ikke kan opstå igen. Vi har ikke nogen indikationer på at sensitiv persondata er blevet kompromitteret eller misbrugt,« skriver DXC i en mail til ITWatch.

"Vi har ikke audit logging, så vi har ikke set noget i vores logfiler"? :-)

  • 13
  • 0
#6 Niels Larsen-Ledet

Ja, det var en fejl, at man ved at taste (dele af) personnumre kunne få at vide, om der var en, der havde det personnummer. Fejlen er indrømmet, fejlen er straks rettet, og kunderne er orienteret. Hvad er dit formål med at lade, som om det er et gigantisk problem?

Det ER et problem, at man nogle steder kan identificere sig bare ved at oplyse et personnummer. Det er naturligvis hul i hovedet.

At man kan gætte et personnummer eller har set det på en andens kørekort er naturligvis ikke noget bevis for, at man er den person. DET er et ægte problem.

  • 3
  • 5
#7 Martin Kirk

... at betragte Personnummer som noget hemmeligt ?

det så fjollet med et nummer som er super nemt at gætte / knække / hacke ... selv en idiot kan side og teste sig frem hvis bare man kender fødselsdatoen - som jo heller ikke er hemmelig.

  • 7
  • 5
#8 Gert Madsen

Hvad er dit formål med at lade, som om det er et gigantisk problem?

Jeg påpeger at det ikke er sandt, når DXC skriver at data ikke er kompromiteret.

I og med at CPRnr. kan bruges i en række sammenhænge, giver det ikke nogen mening at stemple det som "ikke-sensitiv".

Det er jo ikke første gang i den seneste uge at nogen fejler, og forsøger at tale problemet ned til, at det ikke skulle være nødvendigt, at følge GDPR-kravet om at underrette de ramte.

  • 12
  • 0
#10 Martin Kirk

Når nogen kan blive dømt for at gætte folketingsmedlemmers CPRnr., så er det hemmeligt.

Bare fordi man kender Helle Thornings CPR nummer betyder det da ikke at man kan bruge det til noget ...

Det jo tåbeligt at teleselskaber tager for gode varer at en person som oplyser et CPR nummer rent faktisk er ejermand og endda velvilligt udsteder et Simkort til personen.

Ligeledes alle andre services som heller ikke tjekker nok op..

Det jo DER fejlen ligger - at man betragter det som en nøgle som kun personen selv kender.

  • 11
  • 2
#11 Sune Marcher

Fejlen er indrømmet, fejlen er straks rettet, og kunderne er orienteret. Hvad er dit formål med at lade, som om det er et gigantisk problem?

Problemet er vel sætningen "Vi har ikke nogen indikationer på at sensitiv persondata er blevet kompromitteret eller misbrugt"?

Kombinationen af de her to blokke fra den oprindelige artikel er ikke så heldig.

Hvor længe søgefunktionen har været mulig, hvorfor den blev gjort mulig, og hvordan man blev bekendt med fejlen, har virksomheden ikke ønsket at svare på (....) Det er it-kyndige elever fra uddannelsesinstitutionen Tradium i Randers, som har fundet frem til systemets brist og gjort deres skole opmærksom på problemet.

Og det her er også lidt cringe:

"Kursistnummer, kursist id, personnummer eller navn. Brug evt. * , % eller ? som wildcard. Du kan også bruge f for at søge på fødselsdatoen (...)."

Generel SQLi, eller har de ikke har hovedet HELT under armen?

  • 7
  • 0
#18 Sune Marcher

At loope igennem under 500 numre og tjekke navnet via en offentlig hjemmeside er ikke hacking...

Man skal vist være ret defensiv over egen skodkode for at kalde det hacking :)

(Vi kan alle lave fejl, og der kan være pres fra ledelsen om at blive færdig på urealistisk tid på grund af stupide underestimerede udbud, rate limiting har nok ikke været højst prioriteret og whatnot – men at kalde det hacking i stedet for bare at lægge sig fladt ned og sige "det var et sikkerhedshul, det skal fixes" er latterligt.)

  • 8
  • 0
#20 Gert Madsen

Artiklen fortæller, at de pågældende blev dømt for at hacke, ikke for at ofentliggøre personnumre. Find en anden kilde, der kan støtte din påstand

https://www.version2.dk/artikel/cpr-soeren-idoemt-boede-vise-ministres-c...

Og hvad er dit ærinde?

Har du overhovedet ikke fulgt med i de ca. ugentlige artikler om ulovlig offentliggørelse af CPR-numre.

Eller gør det ondt at nogen mener at virksomheder skal holdes op på lovgivningen?

  • 5
  • 0
#22 Rune Jensen

Når jeg læser de her artikler, her og på andre hjemmesider omkring læk af persondata osv.

Så kunne jeg godt tænke mig at vide, hvad er konsekvensen egentlig?

Får leverandør, firmaet som håndterer disse data bare lov til at give en offentlig undskyldning og så er alt i skønneste orden?

Jeg savner at kunne forstå hvad det hjælper at offentligøre disse læk og melde dem til datatilsynet, hvis der sker absolut intet ved det.

Har vi nogle gamle sager fra større datalæk som er udmundet i en egentlig straf?

  • 2
  • 0
#23 Gert Madsen

Får leverandør, firmaet som håndterer disse data bare lov til at give en offentlig undskyldning og så er alt i skønneste orden?

Sådan er det i hvert fald foregået indtil nu. - Der er faldet et par bøder, i tilfælde, som jeg vil vurdere at være ret grove.

GDPR foreskriver så, at de berørte skal direkte informeres. Så kan informationen også blive offentliggjort udenfor fag-medier, som Version2. Men som du kan læse ovenfor, så er der så nogen, som mener at det er alt for hård en straf.

  • 0
  • 0
Log ind eller Opret konto for at kommentere