Åben datadør hos Gyldendal: Mystisk IP lavede 73.000 opslag om elever og lærere

14. juni kl. 04:0010
Gyldendal
Illustration: Mads Joakim Rimer Rasmussen/Ritzau Scanpix.
​​​​​​​Gyldendal er tilbageholdende med tekniske oplysninger. Her er, hvad vi ved om sårbarheden, som Gyldendal selv vurderer har eksisteret i 15 år.
Artiklen er ældre end 30 dage

En ukendt hacker er lykkes med at lave 73.000 opslag på institutioner og folkeskoleklasser over to dage via en sårbarhed hos Gyldendal.

På den måde har vedkommende fået adgang til danske folkeskoleelevers navne, brugernavne til det såkaldte UNI-login, tilknytning til institution og skole samt om, hvilken klasse, eleven går i. 

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
10 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
18. juni kl. 23:18

Det er 1.8 mil elever vi dumpet :) intet bliver udgivet dog da vi har en sag nu :/

7
14. juni kl. 17:49

Datasikkerhed Det forkommer mig sært, at der efter 30 år med internet endnu ikke er skabt et system, der udelukker uautoriseret adgang. Er der ingen, der vil betale for dette, eller er det virkelig ugørligt? Hvis det kan gøres, burde staten da ikke gennemføre det? Selv om det ville kræve en helt ny protokol, hvor det bl. a. altid skulle være muligt at spore alle pakker helt til oprindelsen, ville det nok være en stor indsats værd.

6
14. juni kl. 16:18

Ifølge en bruger på reddit, gjorde han opmærksom Gyldendal på den manglende sikkerhed ved API'en for 3-4 år siden.

9
15. juni kl. 12:34

... gjorde han opmærksom Gyldendal på ...

Hov. Jeg savner en redigeringsmulighed her udover de 5 minutter, der tælles ned fra. :)

5
14. juni kl. 13:22

Samme dag lukker Gyldendal ned for den sårbare API, der på det tidspunkt kun bruges internt af Gyldendals support,

Troede de.

4
14. juni kl. 12:04

Hvorfor har Gyldendal overhovedet adgang til disse oplysninger? Det forekommer mig, at der allerede der er en læk.

Google....Microsoft....Gyldendal.....Trivselsundersøgelser....

Hvor mange har mon adgang til elevernes og forældrenes data via folkeskolen?

2
14. juni kl. 11:26

Ikke desto mindre føler Gyldendal sig overbevist om, at der ikke er tale om en ondsindet aktør.

»Det er som sagt Eagle Sharks (eksternt konsulentfirma, red.) klare vurdering, at der ikke har fundet ondsindet aktivitet sted. Det skyldes kombinationen af datas meget overordnede karakter, aktiviteten på siden, fraværet af pression både nu og igennem årene og dialogen med whistlebloweren. Vi ønsker ikke at blive mere detaljerede end det, men kan sige, at det er den klare vurdering fra nogle af landets førende eksperter,« skriver Gyldendal

Altid dejligt at der er styr på det og man kan udelukke at dataene skulle være misbrugt... Det lyder overhovedet ikke som ondsindet karakter, at det her også skete:

Dog fremgår det også af loggen, at én ud af de 22 IP-adresser har foretaget systematiske – og formentlig automatiserede - datatræk, da der over to dage har været foretaget 4677 institutionstræk og efterfølgende 67.994 klasseopslag

Det er nok bare til reklamesporing. Ingen harme gjort.

3
14. juni kl. 12:00

Jeg undrer mig meget over at nogen bruger systematiske automatiserede scripts til formodentlig at dumpe hele databasen, og de så konkluderer at data nok ikke er blevet delt. Er det ønsketænkning eller har de på trods af førnævnte faktum en begrundelse?

Det er da også et ufatteligt dårligt argument at de ikke er blevet afpresset... endnu - så derfor er datatyven nok slet ikke ondsindet.

1
14. juni kl. 09:04

Dejligt at se at nogen har så meget styr på deres logs at de kan gå 8 måneder tilbage.

8
15. juni kl. 10:05

Det er så også åbenlyst at man ikke har nogen som tjekker disse logfiler.