Åben datadør hos Gyldendal: Mystisk IP lavede 73.000 opslag om elever og lærere

Gyldendal
Illustration: Mads Joakim Rimer Rasmussen/Ritzau Scanpix.
​​​​​​​Gyldendal er tilbageholdende med tekniske oplysninger. Her er, hvad vi ved om sårbarheden, som Gyldendal selv vurderer har eksisteret i 15 år.
14. juni kl. 13:00

En ukendt hacker er lykkes med at lave 73.000 opslag på institutioner og folkeskoleklasser over to dage via en sårbarhed hos Gyldendal.

På den måde har vedkommende fået adgang til danske folkeskoleelevers navne, brugernavne til det såkaldte UNI-login, tilknytning til institution og skole samt om, hvilken klasse, eleven går i. 

Gyldendal vurderer selv, at omkring 750.000 elever og lærere kan være berørt af opslagene, der er sket i en forældet API hos Gyldendal Uddannelse, der er Danmarks største leverandør af digitale undervisningsmaterialer. Den forældede API var tilgængelig fra internettet og har kørt siden 2007. Dermed har den sandsynligvis kunnet trække data ud fra Styrelsen for It og Læring (STIL) i 15 år viser en aktindsigt, Version2 har fået i sagen. 

Få fuld adgang til EduTech

EduTech skriver til professionelle, der arbejder med digitale- og teknologiske uddannelsesløsninger. Få tilsendt tilbud

Abonnementsfordele
vpn_key
Fuld adgang til EduTech
Alt indhold på EduTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
10
18. juni kl. 23:18

Det er 1.8 mil elever vi dumpet :) intet bliver udgivet dog da vi har en sag nu :/

7
14. juni kl. 17:49

Datasikkerhed Det forkommer mig sært, at der efter 30 år med internet endnu ikke er skabt et system, der udelukker uautoriseret adgang. Er der ingen, der vil betale for dette, eller er det virkelig ugørligt? Hvis det kan gøres, burde staten da ikke gennemføre det? Selv om det ville kræve en helt ny protokol, hvor det bl. a. altid skulle være muligt at spore alle pakker helt til oprindelsen, ville det nok være en stor indsats værd.

6
14. juni kl. 16:18

Ifølge en bruger på reddit, gjorde han opmærksom Gyldendal på den manglende sikkerhed ved API'en for 3-4 år siden.

9
15. juni kl. 12:34

... gjorde han opmærksom Gyldendal på ...

Hov. Jeg savner en redigeringsmulighed her udover de 5 minutter, der tælles ned fra. :)

5
14. juni kl. 13:22

Samme dag lukker Gyldendal ned for den sårbare API, der på det tidspunkt kun bruges internt af Gyldendals support,

Troede de.

4
14. juni kl. 12:04

Hvorfor har Gyldendal overhovedet adgang til disse oplysninger? Det forekommer mig, at der allerede der er en læk.

Google....Microsoft....Gyldendal.....Trivselsundersøgelser....

Hvor mange har mon adgang til elevernes og forældrenes data via folkeskolen?

2
14. juni kl. 11:26

Ikke desto mindre føler Gyldendal sig overbevist om, at der ikke er tale om en ondsindet aktør.

»Det er som sagt Eagle Sharks (eksternt konsulentfirma, red.) klare vurdering, at der ikke har fundet ondsindet aktivitet sted. Det skyldes kombinationen af datas meget overordnede karakter, aktiviteten på siden, fraværet af pression både nu og igennem årene og dialogen med whistlebloweren. Vi ønsker ikke at blive mere detaljerede end det, men kan sige, at det er den klare vurdering fra nogle af landets førende eksperter,« skriver Gyldendal

Altid dejligt at der er styr på det og man kan udelukke at dataene skulle være misbrugt... Det lyder overhovedet ikke som ondsindet karakter, at det her også skete:

Dog fremgår det også af loggen, at én ud af de 22 IP-adresser har foretaget systematiske – og formentlig automatiserede - datatræk, da der over to dage har været foretaget 4677 institutionstræk og efterfølgende 67.994 klasseopslag

Det er nok bare til reklamesporing. Ingen harme gjort.

3
14. juni kl. 12:00

Jeg undrer mig meget over at nogen bruger systematiske automatiserede scripts til formodentlig at dumpe hele databasen, og de så konkluderer at data nok ikke er blevet delt. Er det ønsketænkning eller har de på trods af førnævnte faktum en begrundelse?

Det er da også et ufatteligt dårligt argument at de ikke er blevet afpresset... endnu - så derfor er datatyven nok slet ikke ondsindet.

1
14. juni kl. 09:04

Dejligt at se at nogen har så meget styr på deres logs at de kan gå 8 måneder tilbage.

8
15. juni kl. 10:05

Det er så også åbenlyst at man ikke har nogen som tjekker disse logfiler.