250.000 elevers intime oplysninger blottet på nettet
Hvad ville du sige til, at en kommende arbejdsgiver kunne læse »Bedste egenskab: God til at snyde i prøver« om dig?
Eller hvad med »Hun er naiv og man kan nemt snyde hende, for hun tror på det gode i folk«?
For slet ikke at tale om »Jeppe kan varmt anbefales, da han er et åbent bordel og et nemt knald hvilket pigerne fra klassen har draget til fordel ;)«
Omkring 250.000 studerende på ungdomsuddannelser har gennem de seneste år fået lavet deres ?blå bog? hos firmaet C L Seifert eller A J Eriksen gennem online-løsningen blaabog.com, hvor eleverne selv kan uploade tekst, informationer og billeder. Herefter trykkes oplysningerne som en rigtig bog, og eleverne får desuden adgang til klassekammeraternes oplysninger online.
Men nu viser det sig, at det ikke kun er klassekammeraterne, der kan se, hvem du kyssede med, eller hvor fuld du var.
En HTX-elev, der var i gang med at uploade sine egne oplysninger, opdagede, at en simpel udskiftning af et ID-nummer i url'en var nok til at tilgå andre elevers oplysninger.
»Der var ingen restriktioner. Det syntes jeg var utrolig underligt, da hver klasse havde fået deres eget login. Så prøvede jeg at logge ud og opdage, at jeg stadig kunne tilgå alle data,« fortæller HTX-eleven, der ikke ønsker at få sit navn frem, men hvis identitet er Version2 bekendt.
»Så skrev jeg et lille program i Visual studio og C# - det tog kun fem minutter ? og så havde jeg adgang til 250.000 elevers blå bøger fra de sidste 8-9 år, hvis det var det, jeg ville,« fortæller han videre.
Han stoppede dog programmet efter at have downloadet 2.000 elevers data, og Version2 har modtaget en kopi af denne stikprøve fra datamaterialet. Langt de fleste elever optræder med fuldt navn, adresse, e-mailadresse og telefonnummer. Dertil kommer typisk en række oplysninger om øgenavne, diverse pinlige optrædener og hvilke scoringer, eleven har gjort i studietiden.
»Ved forfest hos (pigenavn) viser (drengenavn) stolt (andet drengenavn) rundt i lejligheden. Rundvisningen går blandt andet ind på lillesøsterens (15) værelse, hvor han stolt udbryder:" Her knaldede jeg (pigenavns) lillesøster." Herefter tænder de to lyset og det første de ser, er (pigenavns) mor, som kigger de to i øjnene,« er lige som artiklens tre første afsnit hentet fra stikprøven, der dog her er anonymiseret af hensyn til de implicerede.
HTX-eleven, der opdagede sikkerhedsbristen, skrev herefter til firmaet bag, A J Eriksen, og gjorde dem opmærksom på problemet. Han har dog aldrig modtaget noget svar, og Version2 må da også forsøge i flere omgange, før det lykkes at få den ansvarlige for både A J Eriksens og C L Seiferts løsning, administrerende direktør Jens Eriksen, i tale.
»Jo jeg har selvfølgelig hørt om det, men jeg vil helst ikke kommentere på det.«
Men hvordan kan det være, at så mange elevers private oplysninger ligger frit fremme?
»Jamen det må ikke ske. Så enkelt kan det siges. Jeg tror, det er en tekniker, der kortvarigt har lukket op. Det er rigtig nok, at der har været et hul, men jeg ved, det har været noget midlertidigt, og jeg kan garantere dig, at hullet blev lukket lige med det samme,« siger Jens Eriksen til Version2.
Version2 har konstateret, at løsningen i midten af sidste uge blev ændret, så man ikke umiddelbart kan se eller downloade de mange elevoplysninger. Det er dog stadig muligt på relativt simpel vis at få adgang til de mange oplysninger, hvis man har ? eller kan gætte sig frem til ? loginoplysninger på sitet.
HTX-eleven er fortørnet over sin opdagelse:
»Det er virkelig, virkelig for dårligt. En ting er, at jeg kan se andres oplysninger, men når jeg opgiver mit navn, min adresse og min email-adresse forventer jeg, det bliver behandlet med en vis sikkerhed. Hvis jeg var arbejdsgiver, var sådan en database en guldgrube, hvor jeg kunne tjekke, om en kandidat var beskrevet som en doven hund. Eller jeg kunne spamme alle elevernes emailadresser,« siger eleven.
Men oplysningerne er jo også udkommet i bogform og er som sådan allerede tilgængelige, så hvorfor er det her så galt?
»Hvor mange arbejdsgivere tror du vil bestille blå bøger hjem fra Statsbiblioteket eller det Kongelige Bibliotek, når de får en ansøgning? Nok ikke lige så mange, som finder på at google navnet,« siger HTX-eleven.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
