Læk rammer 750.000 lærere og elever

Et større datalæk hos Gyldendal Uddannelse har haft konsekvenser for op mod 750.000 børn og voksnes oplysninger.

Det drejer sig om både elever og lærere i hele Danmark.

Lækket skyldes en fejl i systemet, som tillod personer med lidt teknologisk kyndighed at skaffe sig utilsigtet adgang. Det fremgår af en aktindsigt, som TV 2 har fået.

- Det er forbandet. Der er ingen tvivl om, at det ikke er godt nok, siger Henrik Gejlager, der er markedsdirektør i Gyldendal Uddannelse.

Gyldendal Uddannelse har omkring 3000 skoler og institutioner som kunder.

Gyldendal opdagede lækket, da selskabet 16. maj fik et tip.

Tre slags informationer lækket

Anmelderen spurgte, om det var meningen, at man kunne tilgå deres database uden tilladelse, og sagde, at vedkommende ville melde det til Datatilsynet, hvis Gyldendal ikke kunne redegøre for fejlen.

Det endte dog med at være Gyldendal selv, der meldte datalækket – samme dag.

Lækket drejer sig om oplysninger om elever og læreres fulde navne, brugernavne i interne systemer samt klasse- og institutionstilknytning – altså om personen er lærer eller elev. Beskyttede navne har ikke været en del af datasættet.

Peter Kruse, ekspert i it-sikkerhed og grundlægger af sikkerhedsfirmaet CSIS med kontor i Skanderborg, siger, at det ikke er ”supersensitive” oplysninger, der er blevet lækket, og at der heller ikke er tale om brud på GDPR-reglerne.

'Det kan man ikke være bekendt'

Men det er alligevel "virkelig ærgerligt", at der har været et læk – i potentielt mange år, siger han. Systemet, som den del af Gyldendal Uddannelse, der havde et læk, opererer i, går nemlig tilbage til 2007.

- Jeg bliver ærgerlig over, at man sløser så meget med andre personers data. Det kan man ikke være bekendt, siger Peter Kruse.

Hvor længe, det er foregået, kan Henrik Gejlager ikke sige. Gyldendal Uddannelses logoplysninger går nemlig kun otte til ni måneder tilbage.

- Det betyder i princippet, at det kan gå tilbage til 2007, men eftersom der ikke har været nogen sager, vi har hørt om, er det vores klare formodning, at det ikke har fundet sted, lyder det fra markedsdirektøren.

Samme dag som tippet og anmeldelsen til Datatilsynet, lukkede Gyldendal Uddannelse for det system, der var utæt.

Oplysningerne kan bruges

Der har været i alt 22 dataudtræk – som betyder, at der 22 gange er blevet hentet lækkede oplysninger – af personer, der ikke burde have adgang. 21 af dem har drejet sig om specifikke skoler og institutioner eller sågar enkeltpersoner.

Det sidste læk er én person eller muligvis robot, vurderer Peter Kruse, der har trukket tusindvis af informationer på to dage.

Peter Kruse fortæller, at det først og fremmest er ”noget sjusk”.

Udover risikoen for identitetstyveri og snagen i andres personlige oplysninger, peger han også på en tænkt situation:

En elev med et unikt navn og forældre, der er særligt interessante for eksempel en efterretningstjeneste, kan blive opsøgt på skolen. Der kan man etablere en relation til eleven, fordi man ved, hvor eleven går i skole.

Er det nemt at få adgang til flere oplysninger, når man har disse?

- Det gør det i hvert fald lettere, fordi så ved man, hvor eleven er tilknyttet, og det kan man bruge til for eksempel at ringe til skolen og forsøge at få lokket flere oplysninger ud af for eksempel en sekretær på skolens kontor, siger Peter Kruse.

Men det er ikke noget, der får hans alarmklokker til at ringe, siger han.

Kan ikke garantere

Henrik Gejlager siger, at det er et såkaldt legacy-system, der har rummet informationerne, som lå på nettet. Men også at der ikke er andre tilsvarende systemer.

Han kan dog ikke love, at det ikke sker igen.

- Men vi kan garantere, at vi gør alt for, at det ikke sker igen. Det er vigtigt at sige, at de data, som har været tilgængelige på den her tjeneste, der har været mulige for nogen, der var teknisk kyndige, har været af meget overordnet karakter.

Virksomheden har hyret et cybersikkerhedsfirma til at hjælpe med den konkrete sag. Virksomheden er selv ved tjekke alle andre af Gyldendals systemer efter i sømmene for samme fejl.

- Sikkerhedsfirmaets klare vurdering er, at der ikke har været nogen ondsindede hensigter med den aktivitet, der har været, og at vores kunders data ikke er yderligere kompromitteret, siger Henrik Gejlager.

Man ved ikke, hvad oplysningerne er blevet brugt til de 22 gange, de er blevet hentet.