Fjernede '_secure' fra url i studie-it og fik advarsel: »Sørgeligt, at afgørelsen har trukket så langt ud«

Datatilsynet er nået frem til en afgørelse på baggrund af en anmeldelse fra 2015, der kostede en gymnasieelev en advarsel.

Da daværende gymnasieelev Jonas Boserup tilbage i 2015 fandt et sikkerhedshul i et studieadministrativt system, som han anmeldte til Datatilsynet, modtog han en advarsel fra det gymnasium, han gik på.

Læs også: Gymnasieelev anmeldte CPR-hul i skolesystem til Datatilsynet - nu får han en advarsel af skolen

Nu er Datatilsynet nået frem til en afgørelse, hvor der bliver rejst kritik af sikkerheden i systemet, som Styrelsen for It og Læring (STIL) står bag.

I dag er Jonas Boserup færdig med sin uddannelse på gymnasiet og læser software engineering på Syddansk Universitet. Version2 har spurgt ham til, hvordan han har det med, at der nu lader til at være sat punktum i sagen.

»Det er jo selvfølgelig godt i den forstand, at der er sket noget, men det er også sørgeligt, at det har trukket så langt ud, som det har,« siger han.

Datatilsynet beklager i afgørelsen den lange sagsbehandlingstid, som bliver begrundet med stor travlhed.

»Et organ som Datatilsynet burde helt klart have flere ressourcer, end de har,« mener Jonas Boserup.

Fjernede ‘_secure’

Kritikken i den aktuelle afgørelse fra Datatilsynet, som Version2 tidligere har omtalt, går på, at STIL’s behandling af personoplysninger i systemet EASY-P - et system til praktikadministration - ikke har levet op til kravet om fornødne sikkerhedsforanstaltninger i persondataloven.

Tilbage i 2015 havde Jonas Boserup opdaget, hvordan det var muligt at omgå sikkerheden i systemet blot ved at fjerne '_secure' fra en url. Og herefter kunne folk søges frem via CPR-nummer.

Ifølge Jonas Boserup var denne CPR-søgning vel at mærke ikke begrænset til elever på den pågældende skole; Teknisk Gymnasium på Selandia i Slagelse.

Jonas Boserup anmeldte sin opdagelse til Datatilsynet i august 2015, hvilket efterfølgende resulterede i, at han modtog en advarsel fra skolen med begrundelsen, at det ikke var lovligt »at gå ind og rode i de systemer, hvor vi har vores personnumre og vores aktiviteter at styre efter,« som direktør for Selandia-skolen Michael Kaas-Andersen dengang udtrykte det.

I dag fortæller Jonas Boserup, at han efter advarslen ikke 'har fjernet _secure fra nogen url-adresser siden', ligesom han generelt heller ikke har rodet rundt i nogle studieadministrative systemer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Sørensen

Jonas Boserup anmeldte sin opdagelse til Datatilsynet i august 2015, hvilket efterfølgende resulterede i, at han modtog en advarsel fra skolen med begrundelsen, at det ikke var lovligt »at gå ind og rode i de systemer, hvor vi har vores personnumre og vores aktiviteter at styre efter,« som direktør for Selandia-skolen Michael Kaas-Andersen dengang udtrykte det.

Jonas anmelder et brud på persondatabeskyttelsen til myndighederne.

Den skole som er dataansvarlig myndighed og dermed i den anklagedes rolle, vælger at give en advarsel til anmelder og derved true anmelder på hans videre uddannelsesforløb.

Er det lovligt på den måde at straffe og true den der anmelder en til myndighederne?

  • 36
  • 0
Thomas Pedersen

Ahhh, hold nu op - det er jo tydeligt for enhver at det er bundulovligt at fjerne _secure. Du går jo heller ikke bare ind af en dør som der står "Låst" på, vel? ... eller noget...

Spøg til side... det er det jo nok desværre - de straffer ham jo ikke for anmeldelsen, men for dét der førte til anmeldelsen (modsvarende ovenstående analogi). Var der ikke også noget med at de fra starten faktisk bortviste ham, men måtte trække det tilbage da de fandt ud af at det bare måske var dem selv der burde bortvises til tid og evighed?

  • 9
  • 0
Christian E. Lysel

Et forældrepar kontaktede mig. Deres søn var anklaget for hackning på sin skole.

Skolen smed ham ud, og krævede 25.000 kr for dækning af deres tab.

De 25.000 kr skulle basalt dække de ikke havde styr på deres recovery process. Og mit gæt er de stadigvæk ikke har styr på det.

Jeg bede skolen om at dokumentere deres krav. Dokumentationen kom aldrig, men de havde intet problem i at smide eleven ud.

Hele skolens netværk var frit tilgængelig fra Internet, alle PC'er, printer og servere, selv switchen kunne man logge på fra Internet med default password.

Udstyret var ej patchet.

Skole anklager en elev, men ikke selv har styr på de mest basale ting, som:

  • audit trail.
  • recovery process.
  • netværks segmentering.
  • patch process.
  • hardning af udstyret.

Jeg er dog sikker på de havde installeret antivirus på deres PC'er suk

  • 18
  • 3
Heino Svendsen
  • 8
  • 0
Bente Hansen

Nej, men det er helt sikkert "Uautoriseret ophold" at gå ind.


Nu ved du ikke om banke holder sent åbent ?

Selvom det i dag nok er mere tilfældet at de har helt lukket. Men også ligegyldigt hvis du skal have penge, de har ingen.

Jeg bruger da også at ændre i adressefeltet, for hurtigere og nemmere tilgang til filer, drev og andet. Hvis man derved kommer ind på noget man ikke må. Så må de prøve at sagsøge mig.
Men jeg tror at jeg tager det helt roligt, det svarer til at en bilproducent, sagsøger en fører af en bil som er kørt galt. Fordi deres bremser svigtet.

Men det viser vel helt sikker at STIL’s system EASY-P, er noget lort, og ikke virker efter hensigten. Samt er meget usikker og ubrugeligt. Når de så samtidigt bagefter vil sagsøger deres kunders klienter, så springer kæden da helt af. Altså STIL EASY-P

  • 1
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Da daværende gymnasieelev Jonas Boserup tilbage i 2015 fandt et sikkerhedshul i et studieadministrativt system, som han anmeldte til Datatilsynet, modtog han en advarsel fra det gymnasium, han gik på. Læs også: Gymnasieelev anmeldte CPR-hul i skolesystem til Datatilsynet - nu får han en advarsel af
skolen Nu er Datatilsynet nået frem til en afgørelse, hvor der bliver rejst kritik af sikkerheden i systemet, som Styrelsen for It og Læring (STIL) står bag. I dag er Jonas Boserup færdig med sin uddannelse på gymnasiet og læser software engineering på Syddansk Universitet. Version2 har spurgt ham til, hvordan han har det med, at der nu lader til at være sat punktum i sagen. »Det er jo selv...