Skoleelever på minimum seks ungdomsuddannelser har haft adgang til CPR-numre på alle deres medstuderende i en platform, DXC Technology leverer.

Der er tale om studieplatformen Ludus, som skolerne blandt andet kan bruge til at registrere fravær og administrere skoleskemaer.

Platformen kan også bruges til at kommunikere med hinanden, og det er i beskedfunktionen, at elever har kunnet finde frem til deres medstuderendes CPR-numre.

De seks ungdomsuddannelser, som tilsammen har mere end 13.000 elever, har meldt fejlen til Datatilsynet, som nu ser på sagen.

DXC har ikke ønsket at stille op til interview om sagen, men virksomheden oplyser, at problemet er løst og ikke kan opstå igen.

Ifølge Søren Sandfeld Jakobsen, som er professor med speciale i blandt andet it-ret ved CBS, er det i strid med lovgivningen, at elevernes CPR-numre har været søgbare.

"CPR-nummeret kan være en vej til mange flere oplysninger, og man må derfor som udgangspunkt ikke behandle andre folks CPR-numre," siger han og peger på eksempelvis identitetstyveri som en væsentlig risiko.

Ansvaret ligger utvivlsomt hos DXC, vurderer Søren Sandfeld Jacobsen.

"Når man udbyder en tjeneste, skal man sørge for, at andre ikke bare kan skaffe sig adgang til sådan en fortrolig oplysning som et CPR-nummer er," siger han.

Ludus foreslog selv søgning på CPR

ITWatch kender ikke til tilfælde af, at funktionen er blevet misbrugt. DXC oplyser i en mail, at man tager situationen "alvorligt", og at man har været i tæt dialog med kunderne om problemet.

"Vi har gennemført en dybdegående analyse, hvor problemstillingen er identificeret og løst samt sikret at samme problemstilling ikke kan opstå igen. Vi har ikke nogen indikationer på at sensitiv persondata er blevet kompromitteret eller misbrugt," skriver virksomheden i en mail.

Hvor længe søgefunktionen har været mulig, hvorfor den blev gjort mulig, og hvordan man blev bekendt med fejlen, har virksomheden ikke ønsket at svare på.

Det er it-kyndige elever fra uddannelsesinstitutionen Tradium i Randers, som har fundet frem til systemets brist og gjort deres skole opmærksom på problemet.

CPR-numrene har ikke ligget frit fremme på en liste, men har derimod kunnet søges frem. Når en elev ville sende en besked til en medstuderende, blev en søgbar liste af alle studerende på skolen tilgængelig. Her foreslog Ludus selv, at man kunne søge på en række forskellige kriterier for at finde frem til den rette modtager – blandt andet personnummer.

På platformen stod der:

"Kursistnummer, kursist id, personnummer eller navn. Brug evt. * , % eller ? som wildcard. Du kan også bruge f for at søge på fødselsdatoen (...)."

CPR-nummeret kunne altså søges frem ved at indsætte en vilkårlig fødselsdato og erstatte de sidste fire cifre med eksempelvis stjerner. Ved den søgning ville alle med den givne fødselsdato dukke op.

Derefter behøvede man blot at teste tallene fra 1-10 som erstatning for hver en stjerne for at finde det rigtige CPR-nummer. Søgte man på en given fødselsdato efterfulgt af ***1 og ramte rigtigt på en person med samme fødselsdato og 1 som det sidste ciffer i CPR-nummeret, ville vedkommendes fulde navn dukke op. Med samme fremgangsmåde kunne man så søge de sidste tre cifre frem.

På ti minutter kunne eleverne fra Tradium i Randers, som opdagede fejlen, søge tre cpr-numre frem på medstuderende angivet med fuldt navn.

En af de elever, som opdagede fejlen, er 17-årige Noah Böhme Rasmussen. Han interesserer sig meget for it-sikkerhed og er lige startet i 2. G på HTX.

"Alle personer, som ville mig noget – på godt eller ondt – kunne i princippet stalke mig og finde stort set alle personlige oplysninger om mig," siger han. 

Noah Böhme Rasmussen synes, det er en "ubehagelig følelse", at hans personlige oplysninger har været søgbare for medstuderende.

"Identitetstyveri er jo min største frygt, fordi man stadig tror på CPR-nummeret som en sikkerhed."

Et for åbent system

Det er "ikke særligt betryggende", at det har været muligt at søge CPR-numre frem på den måde, lyder det fra Jacob Herbst, CTO i it-sikkerhedsfirmaet Dubex.

Han undrer sig over, at søgefunktionen overhovedet er blevet lavet.

"Man har designet et system, hvor man som bruger har kunnet få adgang til nogle data, man ikke skal kunne få adgang til det. Hvorfor overhovedet kunne søge frem på et fuldt personnummer? Systemet har været for åbent i de søgninger, de har tilladt," siger han.

"Vi betragter CPR-nummeret som persondata i Danmark, og det skal der være passende sikkerhedsforanstaltninger til at passe på."

Hos uddannelsesinstitutionen Rybners i Esbjerg, som er en af de berørte skoler, blev man gjort opmærksom på sikkerhedsproblemerne fra Tradium i Randers og meldte derefter problemerne til Datatilsynet.

Alle de cirka 2.700 elever fra Rybners havde adgang til Ludus, da skolen blev opmærksom på sagen. Adm. direktør Olaf Rye er "ærgerlig" over situationen.

"I sidste ende er det jo mit ansvar som adm. direktør, at der er styr på sikkerheden for eleverne," siger han.

Han forklarer, at elevernes CPR-numre skal ligge i systemet, for at skolen kan lave indberetninger til staten og dermed få betaling for hver elev.

Tidligere er det hos Rybners foregået gennem den statsdrevne platform Easy, men efter en konkurrenceudsættelse har skolerne selv skullet finde et system. Og udbuddet er ikke enormt, så i udvælgelsen af et nyt system, vurderede man hos Rybners dog, at Ludus var det mest sikre.

"Det viser sig jo så, at der måske er huller i alle systemer. Det er rigtig svært at vide, for vi er kun lægfolk i den forbindelse, når vi vælger et system," siger han.

Hos Datatilsynet har man vurderet, at der er tale om en relativ teknisk fejl, som er knyttet til platformen, og derfor har tilsynet i første omgang lukket sagen overfor skolerne, som har indberettet fejlen. I stedet har tilsynet taget kontakt til DXC for at få forklaret årsag og omfang af problemet, oplyser Datatilsynet.

Regeringen vil lave ny national cyberstrategi

Blue Water ramt af hackerangreb

Knap 1,7 mio. forsikringskunders personlige data blev ulovligt sendt til Ukraine