Annonce
Indland

Skoleelever har kunnet søge hinandens CPR-numre frem på studieplatform

Skoleelever på minimum seks ungdomsuddannelser har haft adgang til CPR-numre på alle deres medstuderende i studieplatformen Ludus. Foto: Mads Claus Rasmussen/Ritzau Scanpix
På studieplatformen Ludus har over 13.000 elever kunnet søge sig frem til CPR-numre på deres medstuderende. It-leverandøren DXC beklager og har nu fjernet muligheden. Datatilsynet undersøger sagen.
Annonce

Skoleelever på minimum seks ungdomsuddannelser har haft adgang til CPR-numre på alle deres medstuderende i studieplatformen Ludus, som skolerne blandt andet kan bruge til at registrere fravær og administrere skoleskemaer.

Det skriver ITWatch.

De seks ungdomsuddannelser, som tilsammen har mere end 13.000 elever, har meldt fejlen til Datatilsynet, som nu ser på sagen.

Ifølge Søren Sandfeld Jakobsen, som er professor med speciale i blandt andet it-ret ved CBS, er det i strid med lovgivningen, at elevernes CPR-numre har været søgbare.

- CPR-nummeret kan være en vej til mange flere oplysninger, og man må derfor som udgangspunkt ikke behandle andre folks CPR-numre, siger han til ITWatch og peger på eksempelvis identitetstyveri som en væsentlig risiko.

Der er tale om Tradium i Randers, Rybners i Esbjerg, Business College Syd - Mommark Handelsskole, Herning HF og VUC, Herningsholm Erhvervsskole og Syddansk Erhvervsskole i Odense og Vejle.


Vi har ikke nogen indikationer på, at sensitiv persondata er blevet kompromitteret eller misbrugt.

DXC Technology


DXC Technology, som laver platformen, har ikke ønsket at stille op til interview, men virksomheden oplyser, at problemet er løst og ikke kan opstå igen.

Annonce

Tager situationen alvorligt

ITWatch kender ikke til tilfælde af, at funktionen er blevet misbrugt. DXC oplyser i en mail, at man tager situationen "alvorligt", og at man har været i tæt dialog med kunderne om problemet.

- Vi har gennemført en dybdegående analyse, hvor problemstillingen er identificeret og løst samt sikret at samme problemstilling ikke kan opstå igen. Vi har ikke nogen indikationer på, at sensitiv persondata er blevet kompromitteret eller misbrugt, skriver virksomheden i en mail til ITWatch.

Hvor længe søgefunktionen har været mulig, hvorfor den blev gjort mulig, og hvordan man blev bekendt med fejlen, har virksomheden ikke ønsket at svare på.

CPR-numrene har ikke ligget frit fremme på en liste, men har derimod kunnet søges frem. Når en elev ville sende en besked til en medstuderende, blev en søgbar liste af alle studerende på skolen tilgængelig. Her foreslog Ludus selv, at man kunne søge på en række forskellige kriterier for at finde frem til den rette modtager – blandt andet personnummer.

På platformen stod der:

"Kursistnummer, kursist id, personnummer eller navn. Brug evt. * , % eller ? som wildcard (...)."

CPR-nummeret kunne altså søges frem ved at indsætte en fødselsdato og erstatte de sidste fire cifre med eksempelvis stjerner. Ved den søgning ville alle med den givne fødselsdato dukke op.

Derefter behøvede man blot at teste tallene fra 1-10 som erstatning for hver en stjerne for at finde det rigtige CPR-nummer. Søgte man på en given fødselsdato efterfulgt af ***1 og ramte rigtigt på en person med samme fødselsdato og 1 som det sidste ciffer i CPR-nummeret, ville vedkommendes fulde navn dukke op. Med samme fremgangsmåde kunne man så søge de sidste tre cifre frem.

På 10 minutter kunne elever fra Tradium i Randers, som opdagede fejlen, og som ITWatch har talt med, søge tre cpr-numre frem på medstuderende angivet med fuldt navn.

Annonce
Indland

De første danskere kan potentielt blive vaccineret til januar

Annonce
Annonce
Annonce
Forsiden netop nu
Danmark

Er der en ledig plads i din boble?

Danmark

Ulven kommer - med hvad?

Annonce