250.000 elevers intime oplysninger blottet på nettet

En elendigt kodet webløsning har betydet, at op mod 250.000 studerende på ungdomsuddannelser har haft deres 'Blå bog' med en lang række yderst personlige oplysninger liggende frit tilgængeligt.

Hvad ville du sige til, at en kommende arbejdsgiver kunne læse »Bedste egenskab: God til at snyde i prøver« om dig?

Eller hvad med »Hun er naiv og man kan nemt snyde hende, for hun tror på det gode i folk«?

For slet ikke at tale om »Jeppe kan varmt anbefales, da han er et åbent bordel og et nemt knald hvilket pigerne fra klassen har draget til fordel ;)«

Omkring 250.000 studerende på ungdomsuddannelser har gennem de seneste år fået lavet deres ?blå bog? hos firmaet C L Seifert eller A J Eriksen gennem online-løsningen blaabog.com, hvor eleverne selv kan uploade tekst, informationer og billeder. Herefter trykkes oplysningerne som en rigtig bog, og eleverne får desuden adgang til klassekammeraternes oplysninger online.

Men nu viser det sig, at det ikke kun er klassekammeraterne, der kan se, hvem du kyssede med, eller hvor fuld du var.

En HTX-elev, der var i gang med at uploade sine egne oplysninger, opdagede, at en simpel udskiftning af et ID-nummer i url'en var nok til at tilgå andre elevers oplysninger.

»Der var ingen restriktioner. Det syntes jeg var utrolig underligt, da hver klasse havde fået deres eget login. Så prøvede jeg at logge ud og opdage, at jeg stadig kunne tilgå alle data,« fortæller HTX-eleven, der ikke ønsker at få sit navn frem, men hvis identitet er Version2 bekendt.

»Så skrev jeg et lille program i Visual studio og C# - det tog kun fem minutter ? og så havde jeg adgang til 250.000 elevers blå bøger fra de sidste 8-9 år, hvis det var det, jeg ville,« fortæller han videre.

Han stoppede dog programmet efter at have downloadet 2.000 elevers data, og Version2 har modtaget en kopi af denne stikprøve fra datamaterialet. Langt de fleste elever optræder med fuldt navn, adresse, e-mailadresse og telefonnummer. Dertil kommer typisk en række oplysninger om øgenavne, diverse pinlige optrædener og hvilke scoringer, eleven har gjort i studietiden.

»Ved forfest hos (pigenavn) viser (drengenavn) stolt (andet drengenavn) rundt i lejligheden. Rundvisningen går blandt andet ind på lillesøsterens (15) værelse, hvor han stolt udbryder:" Her knaldede jeg (pigenavns) lillesøster." Herefter tænder de to lyset og det første de ser, er (pigenavns) mor, som kigger de to i øjnene,« er lige som artiklens tre første afsnit hentet fra stikprøven, der dog her er anonymiseret af hensyn til de implicerede.

HTX-eleven, der opdagede sikkerhedsbristen, skrev herefter til firmaet bag, A J Eriksen, og gjorde dem opmærksom på problemet. Han har dog aldrig modtaget noget svar, og Version2 må da også forsøge i flere omgange, før det lykkes at få den ansvarlige for både A J Eriksens og C L Seiferts løsning, administrerende direktør Jens Eriksen, i tale.

»Jo jeg har selvfølgelig hørt om det, men jeg vil helst ikke kommentere på det.«

Men hvordan kan det være, at så mange elevers private oplysninger ligger frit fremme?

»Jamen det må ikke ske. Så enkelt kan det siges. Jeg tror, det er en tekniker, der kortvarigt har lukket op. Det er rigtig nok, at der har været et hul, men jeg ved, det har været noget midlertidigt, og jeg kan garantere dig, at hullet blev lukket lige med det samme,« siger Jens Eriksen til Version2.

Version2 har konstateret, at løsningen i midten af sidste uge blev ændret, så man ikke umiddelbart kan se eller downloade de mange elevoplysninger. Det er dog stadig muligt på relativt simpel vis at få adgang til de mange oplysninger, hvis man har ? eller kan gætte sig frem til ? loginoplysninger på sitet.

HTX-eleven er fortørnet over sin opdagelse:

»Det er virkelig, virkelig for dårligt. En ting er, at jeg kan se andres oplysninger, men når jeg opgiver mit navn, min adresse og min email-adresse forventer jeg, det bliver behandlet med en vis sikkerhed. Hvis jeg var arbejdsgiver, var sådan en database en guldgrube, hvor jeg kunne tjekke, om en kandidat var beskrevet som en doven hund. Eller jeg kunne spamme alle elevernes emailadresser,« siger eleven.

Men oplysningerne er jo også udkommet i bogform og er som sådan allerede tilgængelige, så hvorfor er det her så galt?

»Hvor mange arbejdsgivere tror du vil bestille blå bøger hjem fra Statsbiblioteket eller det Kongelige Bibliotek, når de får en ansøgning? Nok ikke lige så mange, som finder på at google navnet,« siger HTX-eleven.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Flemming Hansen

Jeg mindes disse ID-bommerter som man hørte om for mange år siden. Man skal da godt nok have boet i en jordhule hvis man stadig laver den slags.

Et hurtigt kig på sitet - dog uden at logge ind - viser også et himmelråbende elendigt web-arbejde ikke mindst i form af design, og det generelle grafiske arbejde (grimme gif'er der burde være jpeg osv). Selv højde- og bredde-angivelser på billeder er forkerte så det bliver gnidret at se på. Minder mest af alt noget Hr og Fru Jensen lavede for 10år siden med billeder af deres hund.

Den required javascript-attribute "type" har man også valgt at undlade, hvilket ikke alle browsere er glade for, med mindre man roder med HTML5, men noget siger mig det ikke er tilfældet her. Og DOC-types er heller ikke noget man beskæftiger sig med. Det lader til at kompetencen er nogenlunde den samme både foran og bagved sitet.

Jeg kniber næsten en nostalgisk tåre når jeg ser spacer gif'er og tabel layouts.

  • 0
  • 0
Jesper Lund

Det overrasker mig lidt at disse bøger bliver officielt udgivet med ISBN nummer og pligtaflevering til SB og KB. Er det virkelig rigtigt?

Jeg havde indtryk af at gymnasieklassers "blå bog" er et internt værk som bliver produceret til studenterne i klassen og kun dem. Sådan var det i hvert fald i min tid, som godt nok ligger tilbage i præ-Facebook tiden.

Umiddelbart virker det også som om at indholdet har en sådan karakter at det er i åbenlys strid med persondataloven, hvis der skal ske generel offentliggørelse eller upload til Facebook (eventuelt via A J Eriksens og C L Seiferts's IT løsning, som der sikkert kan laves et smart Facebook API til).

  • 1
  • 0
Benjamin Kristensen

Er der nogen der ved noget om hvilke rettigheder man har hvis ens personelige oplysninger bliver blottet på denne måde (læs: jeg er htx studerene og har bestilt blå bog hos C L Seifert) Er det nok i sig selv at oplysningerne har været tilgængelige, eller skal man kunne bevise at de er blevet misbrugt (for det tror jeg ikke de er)

Alt i alt har min oplevelse med C L Seifert været et sikkerhedsmessigt mareridt - bestilling af huen skete på papir (godt) hvorefter vi skulle bekræfte det på nettet MED FÆLLES LOGIN! alle kunne se hvad alle havde bestilt, og hvor dyrt det var (man kunne også betale for andre hvis man ville, men så flink var der ingen der var :( ) nu hvor jeg ser denne artikkel blev jeg lidt bange for at man måske også kunne se bestillinger for andre klasser, men det er uvidst...

off topic: trode næsten den her atikkel handlede om mig da jeg er htx studerene, skriver i C#.net og ikke mindst: jeg ville have gjort det samme som eleven her har gjort...

  • 0
  • 0
Jesper Lund

Er der nogen der ved noget om hvilke rettigheder man har hvis ens personelige oplysninger bliver blottet på denne måde (læs: jeg er htx studerene og har bestilt blå bog hos C L Seifert)

Persondataloven må være overtrådt når der er generel adgang og firmaet ikke har sikret ordentligt mod dette.

Klag til Datatilsynet (som dog burde starte en sag alene på grundlag af denne version2 artikel, men klag klag klag for en sikkerheds skyld).

  • 1
  • 0
Henrik Mikael Kristensen

Standard forteelsen er ellers at bruge JPEG hvor det skulle have været GIF eller PNG...

Det er heller ikke unormalt, at se folk smide en 2 MB BMP fil skaleret ned til "thumbnail" på forsiden og så spørge til, hvorfor deres hjemmeside er så langsom...

  • 0
  • 0
Kasper Grubbe

Klag til Datatilsynet (som dog burde starte en sag alene på grundlag af denne version2 artikel, men klag klag klag for en sikkerheds skyld).

Da jeg sad i sin tid med KKIK og deres manglende SSL-kryptering af deres formularer hvor de modtager CPR-numre, var en Version2-artikel ikke nok.

Jeg skulle selv have kontaktet firmaet bag (KKIK), de var ligeglade, så kontakte Datatilsynet, og de lagde meget mærke til om MIT CPR-nummer var blevet sendt ukrypteret, og om JEG personligt havde været offer for deres forseelse.

Jeg tror ikke man kan starte sag på basis af andre.

  • 0
  • 0
Benjamin Kristensen

Jeg skulle selv have kontaktet firmaet bag (KKIK), de var ligeglade, så kontakte Datatilsynet, og de lagde meget mærke til om MIT CPR-nummer var blevet sendt ukrypteret, og om JEG personligt havde været offer for deres forseelse.

Nu har mine oplysninger jo lige netop også ligget offentligt tilgængeligt, jeg kan bare ikke bevise at de er blevet misbrugt af andre, så nogle ville sige at der ingen skade er sket...

  • 0
  • 0
Tom Paamand

For et år siden have - skal vi nænsomt kalde det en mig nærtstående faglig forening - et tilsvarende sikkerhedshul. Uden login kunne hele deres medlemsregister gennemtrawles eller downloades på nettet. Det tog dem kun et par år at få lukket hullet, der angav ret personlige oplysninger om mange tusinde medlemmer. En ting er sjusk, men fx dette hul kunne lukkes med få linjer server-kode, hvad jeg løbende prøvede at forklare båtnakkerne, mens jeg overvejede at melde dem til Datatilsynet. Det gør jeg næste gang,

  • 0
  • 0
Peter O. Gram

Hvem er det, der er oldschool her? Enig i at ID-bommerten ikke burde have forekommet, men at de ikke har lavet siden i strict XHTML, har jeg fuld forståelse for. I mine øjne er det for autister og opfundet dengang XML var i højsædet. GIF i stedet for JPG; ja somme tider bliver det altså smukkere i GIF - men ikke altid. Tabeller i stedet for CSS; who cares så længe det virker. Javascript type; den parameter er der ingen moderne browsere, der har det slemt over at mangle. Min pointe er; fri os fra at akademisere HTML og hovere over for dem, der stadig laver deres sider i hånden så at sige. Skyd på det væsentlige; den manglende sikkerhed.

  • 0
  • 0
Tor Hvalsøe

Da jeg selv fik min hue sommeren 2009 brugte vi samme system. Jeg hentede som sådan ikke noget den men noget overrasket over at man bare ændrede id nummered på den person man skulle have vist..

Det med at det er noget de midlertidigt har åbnet er lodret LØGN!!

Det hul har været der i ca. 2 år.

Gør endnu engang opmærksom på at jeg ikke har gemt eller brugt nogen af de oplysninger som jeg så den gang i sin tid.!

  • 0
  • 0
Flemming Hansen

@Peter Gram Jeg hovere skam ikke over for dem der håndkoder - jeg er selv en af dem. Men derfor kan man da godt lave tingene ordentligt, ikke mindst når man tager penge for det.

Men hvorfor skal frontend-kodere være beskyttet mod kritik? Sikkerhedsbrister ligger lige så ofte i frontenden som i backenden.

  • 0
  • 0
Tom Paamand

Nej det nævnte hul var ikke i IDA, men kunne nok godt have været det. Og jeg tilstår gerne, at jeg brugte hullet, da jeg hurtigt skulle bruge privat telefonnummer på en gammel bekendt. Men det harmer mig, at det tog flere år at få det lukket.

@Peter Gram troller effektivt, men skodkode er netop ringeagtet, da sikkerhedshuller nemt drukner i en kode, der er umulig at gennemskue på grund af ofte i hundredevis af andre kodefejl.

  • 0
  • 0
Peter Gelsbo

Er selv 3. års HTX elev og har brugt blaabog.com. Én ting er, at den måde hele systemet virker på er utrolig uigennemtænkt og dårlig. Men jeg havde ikke regnet med at siden var så dårligt kodet at ens oplysninger var frit tilgængelige. Håndkodning, pixelerede GIF billeder og tabel-layouts er som sådan lige meget, så længe skidtet virker. Men det gør det tydeligvis ikke.

Uden den store indsigt i det, og efter som min klasses login til siden ikke kan bruges mere, kan jeg selvfølgelig ikke udtale mig med sikkerhed, men jeg tvivler på Jens Eriksens udtalelse om at det var et midlertidigt problem.

  • 0
  • 0
dranker jens

Også jeg havde fundet adskillige fejl i deres side.... udover ovenstående oplysninger er der også sikkerhedshullet i blaabog.com/UploadPicture.asp hvilket resultere i at du kan se alle deres billeder (hvilket er over 300.000...) og man kan frit få root access til ajeriksen.dk igennem deres smarte pictureserver v.1...

alt dette er også fundet ud af' en htx elev ;)

  • 0
  • 0
Ejnar Håkonsen

På deres hjemmeside omtales kvaliteten af de trykte bøger med 3 kolonner, med en enkelt linie tilføjet om at "materialet uploades", og intet angivet om nogen persondata-politik. Der er simpelthen ingen (elever eller forhandler) der har skænket misbrugspotentialet en tanke i de 10 år har stået på.

Jeg har set samme fejl begået i langt mere "professionelle" løsninger, hvor misbrugspotentialet har stået klart for enhver. Det et kun et år siden at KU gik væk fra et IT-system der i mange år lod de studerende tilgå hinandens karaktergivende online-afleveringer på nøjagtig samme måde. Så vidt jeg er bekendt indeholder det erstattende system stadig en lignende adgangsfejl, der på 17. måned lader de studerende redigere i deres karakterer. Sidstnævnte blev kortvarigt rettet da version2 havde mediefokus på det, og var tilbage til udgangspunktet i næste patch.

Jeg tror desværre stadig det er naivt, som udgangspunkt at forvente persondatasikkerhed i Danmark, medmindre produktet er open source eller der er åbenlyse økonomiske konsekvenser ved sikkerhedsbrister. Særligt i de tilfælde hvor det ikke engang er IT-firmaer der står bag løsningen.

  • 0
  • 0
Lars Lundin

"Jeg tror, det er en tekniker, der kortvarigt har lukket op. Det er rigtig nok, at der har været et hul, men jeg ved, det har været noget midlertidigt, og jeg kan garantere dig, at hullet blev lukket lige med det samme,« siger Jens Eriksen til Version2".

Ja, hvad skal manden ellers finde på?

Men sandt er det jo tydeligtvis ikke.

Først den dag, der falder bøder som kan ses på bundlinjen, ophører sjoflingen af folks private oplysninger.

  • 2
  • 0
Kenneth Lylloff

Download en af filerne, søg efter '@' - vupti - spam ofre! Endnu værre, flere af dem står med adresse, e-mail, telefon numre og fødselsdatoer!!! Sammen med informationen fra Den Blå Bog, med blandt andet øgenavne kunne det være ret nemt at bryde ind i deres mailkonto og dermed påbegynde identitetstyveri!!! V2 - Gå til dem NU!!!

  • 0
  • 0
Log ind eller Opret konto for at kommentere