Databehandleraftaler23. juni
Åben datadør hos Gyldendal: Mystisk IP lavede 73.000 opslag om elever og lærere
Illustration: Mads Joakim Rimer Rasmussen/Ritzau Scanpix.
Gyldendal er tilbageholdende med tekniske oplysninger. Her er, hvad vi ved om sårbarheden, som Gyldendal selv vurderer har eksisteret i 15 år.
14. juni kl. 13:00
En ukendt hacker er lykkes med at lave 73.000 opslag på institutioner og folkeskoleklasser over to dage via en sårbarhed hos Gyldendal.
På den måde har vedkommende fået adgang til danske folkeskoleelevers navne, brugernavne til det såkaldte UNI-login, tilknytning til institution og skole samt om, hvilken klasse, eleven går i.
Gyldendal vurderer selv, at omkring 750.000 elever og lærere kan være berørt af opslagene, der er sket i en forældet API hos Gyldendal Uddannelse, der er Danmarks største leverandør af digitale undervisningsmaterialer. Den forældede API var tilgængelig fra internettet og har kørt siden 2007. Dermed har den sandsynligvis kunnet trække data ud fra Styrelsen for It og Læring (STIL) i 15 år viser en aktindsigt, Version2 har fået i sagen.
Få fuld adgang til EduTech
EduTech skriver til professionelle, der arbejder med digitale- og teknologiske uddannelsesløsninger. Få tilsendt tilbud
Abonnementsfordele
Fuld adgang til EduTech
Alt indhold på EduTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til debatten
Deltag i debatten med andre professionelle.
Det er 1.8 mil elever vi dumpet :) intet bliver udgivet dog da vi har en sag nu :/
Datasikkerhed Det forkommer mig sært, at der efter 30 år med internet endnu ikke er skabt et system, der udelukker uautoriseret adgang. Er der ingen, der vil betale for dette, eller er det virkelig ugørligt? Hvis det kan gøres, burde staten da ikke gennemføre det? Selv om det ville kræve en helt ny protokol, hvor det bl. a. altid skulle være muligt at spore alle pakker helt til oprindelsen, ville det nok være en stor indsats værd.
Ifølge en bruger på reddit, gjorde han opmærksom Gyldendal på den manglende sikkerhed ved API'en for 3-4 år siden.
Hov. Jeg savner en redigeringsmulighed her udover de 5 minutter, der tælles ned fra. :)
Troede de.
Hvorfor har Gyldendal overhovedet adgang til disse oplysninger? Det forekommer mig, at der allerede der er en læk.
Google....Microsoft....Gyldendal.....Trivselsundersøgelser....
Hvor mange har mon adgang til elevernes og forældrenes data via folkeskolen?
Altid dejligt at der er styr på det og man kan udelukke at dataene skulle være misbrugt... Det lyder overhovedet ikke som ondsindet karakter, at det her også skete:
Det er nok bare til reklamesporing. Ingen harme gjort.
Jeg undrer mig meget over at nogen bruger systematiske automatiserede scripts til formodentlig at dumpe hele databasen, og de så konkluderer at data nok ikke er blevet delt. Er det ønsketænkning eller har de på trods af førnævnte faktum en begrundelse?
Det er da også et ufatteligt dårligt argument at de ikke er blevet afpresset... endnu - så derfor er datatyven nok slet ikke ondsindet.
Dejligt at se at nogen har så meget styr på deres logs at de kan gå 8 måneder tilbage.
Det er så også åbenlyst at man ikke har nogen som tjekker disse logfiler.