13.000 skoleelever kunne søge hinandens CPR-numre frem i DXC-system

21. september 2020 kl. 09:3823
Eleverne på seks ungdomsuddannelser har kunnet finde frem til hinandens CPR-numre i studiesystemet Ludus, som bliver leveret af DXC. Leverandøren har beklaget, og fejlen er rettet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Mere end 13.000 skoleelever fordelt på mindst seks forskellige ungdomsuddannelser har kunnet tilgå hinandens CPR-numre via en studieplatform ved navn Ludus.

Det skriver ITWatch.

Ludus bliver blandt andet brugt til at administrere fravær og skoleskemaer, og det er i systemets beskedfunktion, at de studerende har kunnet søge hinandens CPR-numre frem.

Det er it-virksomheden DXC, der står bag Ludus, og i en mail til ITWatch oplyser leverandøren, at problemet er løst, og at det ikke kan opstå igen. Derudover er der ifølge DXC ikke noget, som tyder på, at oplysningerne er blevet misbrugt.

Artiklen fortsætter efter annoncen

»Vi har gennemført en dybdegående analyse, hvor problemstillingen er identificeret og løst samt sikret, at samme problemstilling ikke kan opstå igen. Vi har ikke nogen indikationer på at sensitiv persondata er blevet kompromitteret eller misbrugt,« skriver DXC i en mail til ITWatch.

Fejlen i Ludus er også havnet på myndighedernes bord. I forbindelse med sagen har Datatilsynet taget kontakt til DXC for at få oplyst, hvordan fejlen er opstået, og hvor stort problemets omfang har været.

23 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
23
23. september 2020 kl. 09:21

Får leverandør, firmaet som håndterer disse data bare lov til at give en offentlig undskyldning og så er alt i skønneste orden?

Sådan er det i hvert fald foregået indtil nu. - Der er faldet et par bøder, i tilfælde, som jeg vil vurdere at være ret grove.

GDPR foreskriver så, at de berørte skal direkte informeres. Så kan informationen også blive offentliggjort udenfor fag-medier, som Version2. Men som du kan læse ovenfor, så er der så nogen, som mener at det er alt for hård en straf.

22
22. september 2020 kl. 14:58

Når jeg læser de her artikler, her og på andre hjemmesider omkring læk af persondata osv.

Så kunne jeg godt tænke mig at vide, hvad er konsekvensen egentlig?

Får leverandør, firmaet som håndterer disse data bare lov til at give en offentlig undskyldning og så er alt i skønneste orden?

Jeg savner at kunne forstå hvad det hjælper at offentligøre disse læk og melde dem til datatilsynet, hvis der sker absolut intet ved det.

Har vi nogle gamle sager fra større datalæk som er udmundet i en egentlig straf?

20
22. september 2020 kl. 08:38

Artiklen fortæller, at de pågældende blev dømt for at hacke, ikke for at ofentliggøre personnumre. Find en anden kilde, der kan støtte din påstand

https://www.version2.dk/artikel/cpr-soeren-idoemt-boede-vise-ministres-cpr-numre-56221

Og hvad er dit ærinde?

Har du overhovedet ikke fulgt med i de ca. ugentlige artikler om ulovlig offentliggørelse af CPR-numre.

Eller gør det ondt at nogen mener at virksomheder skal holdes op på lovgivningen?

18
21. september 2020 kl. 18:24

At loope igennem under 500 numre og tjekke navnet via en offentlig hjemmeside er ikke hacking...

Man skal vist være ret defensiv over egen skodkode for at kalde det hacking :)

(Vi kan alle lave fejl, og der kan være pres fra ledelsen om at blive færdig på urealistisk tid på grund af stupide underestimerede udbud, rate limiting har nok ikke været højst prioriteret og whatnot – men at kalde det hacking i stedet for bare at lægge sig fladt ned og sige "det var et sikkerhedshul, det skal fixes" er latterligt.)

16
21. september 2020 kl. 18:08

BT: "Dommen bliver dog først endegyldig efter et retsmøde til januar." Hvad skete der så i januar? Hvor havde han personnumrene fra? Det skulle vel aldrig være hackingen, han blev dømt for?

15
21. september 2020 kl. 18:06

Artiklen fortæller, at de pågældende blev dømt for at hacke, ikke for at ofentliggøre personnumre. Find en anden kilde, der kan støtte din påstand.

12
21. september 2020 kl. 16:26

Hvem blev dømt for præcis hvad? Kilde, tak.

11
21. september 2020 kl. 16:24

Fejlen er indrømmet, fejlen er straks rettet, og kunderne er orienteret. Hvad er dit formål med at lade, som om det er et gigantisk problem?

Problemet er vel sætningen "Vi har ikke nogen indikationer på at sensitiv persondata er blevet kompromitteret eller misbrugt"?

Kombinationen af de her to blokke fra den oprindelige artikel er ikke så heldig.

Hvor længe søgefunktionen har været mulig, hvorfor den blev gjort mulig, og hvordan man blev bekendt med fejlen, har virksomheden ikke ønsket at svare på
(....)
Det er it-kyndige elever fra uddannelsesinstitutionen Tradium i Randers, som har fundet frem til systemets brist og gjort deres skole opmærksom på problemet.

Og det her er også lidt cringe:

"Kursistnummer, kursist id, personnummer eller navn. Brug evt. * , % eller ? som wildcard. Du kan også bruge f for at søge på fødselsdatoen (...)."

Generel SQLi, eller har de ikke har hovedet HELT under armen?

10
21. september 2020 kl. 16:23

Når nogen kan blive dømt for at gætte folketingsmedlemmers CPRnr., så er det hemmeligt.

Bare fordi man kender Helle Thornings CPR nummer betyder det da ikke at man kan bruge det til noget ...

Det jo tåbeligt at teleselskaber tager for gode varer at en person som oplyser et CPR nummer rent faktisk er ejermand og endda velvilligt udsteder et Simkort til personen.

Ligeledes alle andre services som heller ikke tjekker nok op..

Det jo DER fejlen ligger - at man betragter det som en nøgle som kun personen selv kender.

9
21. september 2020 kl. 16:18

at betragte Personnummer som noget hemmeligt

Når nogen kan blive dømt for at gætte folketingsmedlemmers CPRnr., så er det hemmeligt.

At vi i den grad trænger til en udskiftning af personnummeret, er jeg fuldstændig enig i.

8
21. september 2020 kl. 16:13

Hvad er dit formål med at lade, som om det er et gigantisk problem?

Jeg påpeger at det ikke er sandt, når DXC skriver at data ikke er kompromiteret.

I og med at CPRnr. kan bruges i en række sammenhænge, giver det ikke nogen mening at stemple det som "ikke-sensitiv".

Det er jo ikke første gang i den seneste uge at nogen fejler, og forsøger at tale problemet ned til, at det ikke skulle være nødvendigt, at følge GDPR-kravet om at underrette de ramte.

7
21. september 2020 kl. 16:01

... at betragte Personnummer som noget hemmeligt ?

det så fjollet med et nummer som er super nemt at gætte / knække / hacke ... selv en idiot kan side og teste sig frem hvis bare man kender fødselsdatoen - som jo heller ikke er hemmelig.

6
21. september 2020 kl. 15:57

Ja, det var en fejl, at man ved at taste (dele af) personnumre kunne få at vide, om der var en, der havde det personnummer. Fejlen er indrømmet, fejlen er straks rettet, og kunderne er orienteret. Hvad er dit formål med at lade, som om det er et gigantisk problem?

Det ER et problem, at man nogle steder kan identificere sig bare ved at oplyse et personnummer. Det er naturligvis hul i hovedet.

At man kan gætte et personnummer eller har set det på en andens kørekort er naturligvis ikke noget bevis for, at man er den person. DET er et ægte problem.

5
21. september 2020 kl. 15:54

»Vi har gennemført en dybdegående analyse, hvor problemstillingen er identificeret og løst samt sikret, at samme problemstilling ikke kan opstå igen. Vi har ikke nogen indikationer på at sensitiv persondata er blevet kompromitteret eller misbrugt,« skriver DXC i en mail til ITWatch.

"Vi har ikke audit logging, så vi har ikke set noget i vores logfiler"? :-)

4
21. september 2020 kl. 15:44

Hvor det fremgår at det var elever, som fandt andres CPR-nummer.

Dvs. data er blevet kompromiteret, og udtalelsen fra DXC er en gang røgslør.

3
21. september 2020 kl. 15:03

Der er ikke tale om, at man kunne læse en oversigt over personnumre. Brugere, der var logget ind, kunne fremsøge en elev, og så kunne man se det navn, der var knyttet til det personnummer, man havde indtastet.

Muligheden for at søge med personnummer blev straks fjernet for elever og lærere, og skolerne blev orienteret samtidig.

2
21. september 2020 kl. 14:10

Om de har nogen former for SIEM løsning til at løbende gemmemgå logfiler fra server, eller måske er det bare noget som er sparet væk.

1
21. september 2020 kl. 11:25

Som er træt af:

"Vi har ikke nogen indikationer på at sensitiv persondata er blevet kompromitteret eller misbrugt".

Åh, så problemet er ikke rapporteret af en bruger, men er noget som selskabet helt af sig selv har opdaget?

Skal der ikke snart stoppes for disse lamme undskyldninger, for ikke at give de berørte direkte besked?