Datalæk fra RUC: Over 1.000 navne, e-mails og cpr-numre lagt ud på hjemmeside

Roskilde Universitet har ved en fejl lækket mere end 1.000 studentermedhjælperes navne, e-mails og cpr-numre ved at lægge et database for arbejdstidsregistrering ud på en underside til RUC’s hjemmeside.

»Roskilde Universitet beklager meget at måtte meddele, at en kopi af en database fra et system, der er brugt til at registrere arbejdstid for studentermedhjælpere ved en beklagelig fejl er blevet tilgængelig på en underside til RUC's hjemmeside, således at listen var mulig at tilgå udefra.«

Sådan skriver universitetet i et brev sendt ud til deres tidligere studentermedhjælpere, hvis navne, e-mailadresser og cpr-numre har ligget frit tilgængeligt på universitetets hjemmeside

It-mediet Computerworld skriver, at flere end 1000 nuværende eller tidligere RUC-studerende er berørte af datalækket, og at de lækkede data har ligget på hjemmesiden i mere end tre år.

Roskilde Universitet skriver i deres brev til de berørte, at de har fjernet dokumentet fra hjemmesiden, ligesom det heller ikke længere kan findes på Google.

De skriver også, at sandsynligheden for, at nogen har tilgået dokumentet, er meget lille. De har tjekket deres tilgængelige logfiler, som ikke viser nogen tilgang til dokumentet, men logfilerne går ikke helt tilbage til 2015, hvor dokumentet blev lagt ud.

Universitetet opfordrer nu de tidligere studentermedhjælpere til at være opmærksomme på deres post og bankkonti i tilfælde af, at de er blevet kompromitteret med hjælp fra den lækkede database.

Læs RUC’s brev til de lækkede datas ejere herunder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Dyrset Holse

Tre ting springer i øjnene med meddelelsen fra RUC:

1) Det udsendte brev indeholder ingen oplysninger om journalisering i RUC's systemer. Det vil derfor være en tilfældighed om man kan finde det igen.
2) Man har åbenbart vidst at dokumentet har ligget frit fremme i 3 år uden at slå alarm eller gøre noget ved sagen.
3) Logfilerne kan ikke bruges til noget da de ikke går så langt tilbage som man åbenbart ved at dokumentet har ligget frit fremme.

Den ansvarlige bortforklarer ved at "der så nok ikke er sket noget", men gi'r banale råd til hvad der kan gøres hvis der er sket noget.

De ramte personer bør uanset hvad anmelde sagen til Datatilsynet og RUC skal ha' et alvorligt rap over fingrene for lemfældig omgang med persondata og manglende overblik over konsekvensen af manglende styr på persondata.

Bjarne Nielsen

Mod 11 reglen gælder ikke mere

I praksis gør den stadig. Bemærk at det er på indtil videre 16 konkrete datoer, at checket ikke altid stemmer.

Så ja, det er ikke noget endegyldigt krav, men det er så sandelig stadig et godt indicie.

Godt nok til at man til en heuristik som skal lede efter mulige cprnumre bør inkludere den, fordi at det vil medføre forsvindende få falske negativer set i forhold til hvor mange falske positiver den vil luge ud i.

Log ind eller Opret konto for at kommentere