Gymnasieelev anmeldte CPR-hul i skolesystem til Datatilsynet - nu får han en advarsel af skolen

Den elev, der opdagede og anmeldte et sikkerhedshul i et udbredt administrationssystem til erhvervsskolerne, har nu fået en advarsel.

Efter at have gjort opmærksom på et sikkerhedshul i et udbredt system til studieadministration har Jonas Boserup nu modtaget en mundtlig advarsel fra Selandia-skolen i Slagelse, hvor han til daglig læser på Teknisk Gymnasium.

»Jeg fik at vide, at jeg har gjort noget, jeg ikke måtte, og at jeg skulle have kontaktet skolen. Det var det, der lå til grund for advarslen, men jeg fik ikke en præcis definition på, hvad det (problemet, red.) var,« siger Jonas Boserup.

Som Version2 i går kunne fortælle, har Jonas Boserup opdaget, at han kunne få adgang til eksempelvis CPR-numre i det studieadministrative system Easy-P, som Selandia anvender - blandt andet et åbent wifi-net. Det viste sig også, at det var muligt at omgå det, der skulle forestille at være en login-beskyttet del af systemet ved at fjerne '_security' fra en URL.

Jonas Boserup gik med sin viden til Datatilsynet, som sidenhen rettede henvendelse til Styrelsen for IT og Læring (STIL), der nu har lukket hullet. Efter Version2's omtale af sagen, har Jonas Boserup nu modtaget en advarsel, der betyder, at han bliver smidt ud af sin uddannelse, hvis han gør noget lignende en anden gang.

Version2 har spurgt direktør for Selandia Michael Kaas-Andersen om, hvorfor uddannelsesinstitutionen har givet Jonas Boserup en advarsel.

»Det har vi, fordi det ikke er lovligt at gå ind og rode i de systemer, hvor vi har vores personnumre og vores aktiviteter at styre efter.«

Når en elev, der gør opmærksom på en it-sikkerhedsbrist i jeres it-systemer, bliver mødt med en advarsel, risikerer I så ikke, at ingen vil gøre opmærksom på lignende sikkerhedshuller i fremtiden?

»Nu gjorde han jo ikke opmærksom på det, han meldte det til Datatilsynet. Han kontaktede ikke skolen eller vores it-afdeling, så havde vi nok reageret anderledes, fordi så havde han haft en interesse i, at vi fik det lukket. Men han sagde ikke en dyt til nogen af os på skolen.«

Så advarslen er, fordi han ikke sagde noget til jer?

»Advarslen er, fordi han uden vores vidende har siddet og hacket ind bag vores administrative systemer.«

Hullet er jo lukket nu. Ville I have foretrukket, at han ingenting havde gjort, og at det stadig stod åben?

»Nej, vi havde foretrukket, han havde henvendt sig til os. Vi foretrækker helt generelt ikke, at elever går ind i hverken vores lukkede systemer, Skats lukkede systemer eller andres lukkede systemer. Det er ikke måden at finde huller på. Det er ikke ved at prøve at hacke forskellige systemer og hjemmesider,« siger Michael Kaas-Andersen og fortsætter:

»Så kan man søge arbejde, få en opgave og sige, man gerne vil hjælpe med at gøre det sikkert, det er noget andet. Det her, det er sket bag om ryggen på skolen, og det er ikke lovligt,« siger Michael Kaas-Andersen.

Vil være mere forsigtig fremover

I fremtiden har Jonas Boserup nu tænkt sig at være mere varsom med, hvilke it-systemer han kigger på.

»Selvfølgelig har jeg da tænkt mig fortsat at holde øje med, hvad der sker. Men jeg kan godt se, at jeg måske skal styre lidt uden om ting, der har noget at gøre med STIL,« siger Jonas Boserup.

I forhold til, hvorfor Jonas Boserup i første omgang kontaktede Datatilsynet i stedet for de relevante personer på Selandia, siger han:

»Datatilsynet har reelt ressourcer til at kunne føre det her. Hvis jeg i stedet havde kontaktet skolen, var det måske kun skolens adgang, der var blevet begrænset. Men det lukker jo stadigvæk ikke hullet,« siger Jonas Boserup og henviser til den daværende mulighed for at fjerne _secure fra URL'en og derved omgå login.