Gymnasieelev fik adgang til CPR-database ved at fjerne ‘_secure’ fra URL

Uvedkommende har kunnet få adgang til CPR-numre og navne knyttet til numrene i systemet Easy-P, som bliver brugt til administration af praktikforløb på landets erhvervsuddannelser. »Det kan diskuteres, om det er et hul,« anfører systemejeren, som er en offentlig styrelse.

Et sikkerhedshul, der giver adgang til elevers CPR-numre og gør det muligt at slå navne op via CPR-numre, har sneget sig ind i en del af Easy-systemet, som bruges til studieadministration på landets erhvervsuddannelser. Sårbarheden er netop blevet lukket. Det er uvist, hvor længe den har eksisteret.

CPR-sårbarheden blev opdaget af Jonas Boserup, der til daglig læser på Teknisk Gymnasium på Selandia i Slagelse. Han bemærkede, at en sekretær på skolen sad med et skærmbillede til et andet delsystem i Easy-miljøet.

Jonas Boserup blev nysgerrig og undersøgte, hvad Easy er for noget. I den forbindelse stødte han på delsystemet til administration af praktikophold, Easy-P.

Selvom Easy-P henvender sig til erhvervsuddannelserne på Selandia, kunne Jonas Boserup - der læser på en gymnasial uddannelse og ikke skal i praktikforløb - uden videre tilgå praktiksystemet via en browser. Dog forudsat at han var koblet på skolens net, eksempelvis det åbne wifi, fortæller han.

»Til at starte med undrede det mig, at jeg kunne se det her. Og så kiggede jeg videre i det,« siger Jonas Boserup.

Og han blev endnu mere overrasket efter at have opdaget en side, hvor der skulle indtastes et skole-ID. Jonas Boserup prøvede med flere heltal. Det resulterede i, at han fik adgang til forskellige logs med CPR-numre, som Jonas Boserup fortæller så ud til at have relation til elever i praktikforløb.

Easy-P-hjemmesiden var dog ikke helt åben. Således så en del af menupunkterne ud til at være beskyttet af et login. Men det viste sig kun at være på overfladen.

»Når man klikkede rundt i menupunkterne, var der store dele af dem, der havde en adresse, hvor der stod epp_secure. Hvis man fjernede _secure, kunne man tilgå de beskyttede sider, som ellers krævede, man loggede ind,« siger Jonas Boserup.

Sagen er særligt opsigtsvækkende, idet interesseorganisationen Danske Erhvervsskoler (DE) - i samråd med advokatvirksomheden Bech-Bruun - har været kritisk over for privacy-problemer i et andet studieadministrativt system, Lectio, som bliver anvendt på flere af de erhvervsgymnasiale uddannelser, som DE-organisationens medlemmer tilbyder. DE har over for Version2 udtrykt undren over, at Datatilsynets ikke greb ind over for Lectio.

I forhold til adgangen til delsystemet Easy-P har Datatilsynet tidligere på måneden rettet henvendelse til Styrelsen for IT og Læring, der står bag Easy-systemet, som er obligatorisk at anvende på erhvervsuddannelserne.

CPR-opslag

Alene ved at ændre i url’en var det muligt at omgå det, der ellers skulle være en databeskyttelse. Et af de menupunkter, der skulle forestille at være beskyttet med login, viste sig at indeholde et indtastningsfelt til CPR-numre.

Først prøvede Jonas Boserup at taste sit eget CPR-nummer ind i feltet - herefter returnerede systemet hans navn. Dernæst prøvede han efter aftale med en ven at indtaste vennens CPR-nummer. Her fik han navnet på vennen returneret. Jonas Boserup fortæller, at vennen slet ikke er tilknyttet en uddannelse.

»Jeg kontaktede Datatilsynet, fordi jeg kunne se, at det kan misbruges til identitetstyveri. Så jeg rettede henvendelse til tilsynet for at sikre, at der ikke ville være nogen med onde hensigter, der fik adgang til det her.«

Datatilsynet har på baggrund af Jonas Boserups henvendelser - der har været flere i takt med, at Jonas Boserup har opdaget flere teknikaliteter - sendt et brev til STIL, hvor tilsynet blandt andet gerne vil vide, ‘om Styrelsen for It og Læring har mulighed for/finder anledning til at tage skridt til at forbedre sikkerheden i forhold til den beskrevne problemstilling’.

Datatilsynet giver STIL en frist på tre uger til at svare på henvendelsen, der er dateret 7. september.

Den 23. september var der stadig ifølge Jonas Boserup stadig fri adgang til CPR-numre i STIL.

Først efter at Version2 rettede henvendelse til STIL, ligeledes 23. september, meddelte vicedirektør i STIL Aino Olsen i slutningen af sidste uge, at hullet nu er lukket.

I en mail sendt 25. september skriver hun:

»Jeg kan bekræfte, at styrelsen har modtaget en henvendelse fra Datatilsynet. Henvendelsen omhandler en elev, der klager over at have opnået uautoriseret adgang til et af vores studieadministrative systemer via skolens netværk. Vi har undersøgt forholdene og kan bekræfte, at han kan have opnået en sådan adgang, men at det ud fra vores foreløbige undersøgelser kræver en bevidst uautoriseret adfærd at opnå de adgange, som eleven klager over. Data ligger således ikke frit tilgængeligt. Vi har lukket for den pågældende sårbarhed og er i dialog med Datatilsynet om den videre proces.«

Version2 har efterfølgende været i dialog med Aino Olsen, som ikke mener, at data som sådan har været frit tilgængelige:

»Hvorvidt det er et egentligt hul, kan man diskutere. Det er en person, der bevidst har forsøgt at komme ind bag. Den mulighed er lukket nu med login.«

Den del bekræfter Jonas Boserup. Han fortæller, at hele Easy-P-systemet nu ser ud til at kræve et brugerlogin, der ikke kan omgås ved at fjerne _secure.

Aino Olsen gætter umiddelbart på, at sårbarheden har været der i relativt kort tid. Det er STIL nu ved at undersøge nærmere. Sårbarheden kan være opstået i forbindelse med omlægninger af skolernes netværk, fortæller hun.

I forhold til netværk mener Aino Olsen desuden, at skolerne bærer en del af ansvaret for, hvem der kan få adgang til systemet. Jonas Boserup har fortalt til Version2, at han kun har kunnet få adgang til siderne via skolens netværk, men altså også herunder det åbne wifi-hotspot.

STIL bærer dog også en del af ansvaret for sikkerhedsbristen i forhold til at beskytte dataadgang med login, tilkendegiver Aino Olsen.

»Det er en kombination. Det er også et spørgsmål om skolernes netværk, og hvilke netværk en elev skal kunne komme ind på. Det er den ene ting. Og så er det samtidig en sårbarhed, hvor ikke alle funktionaliteter på netværket er beskyttet af login. Det er de så nu.«

Aino Olsen forklarer, at STIL på nuværende tidspunkt ikke kan sige noget om, hvorvidt adgangen har været misbrugt.

»Det er også et spørgsmål om, hvad der egentlig har været adgang til. CPR-numre er jo ikke så smart, men det er ikke nødvendigvis kritisk, medmindre du kan kombinere dem med nogle navne også.«

På oplysningen om, at Jonas Boserup også har fundet et menupunkt, hvor man kunne slå CPR-numre op og få navne retur, siger Aino Olsen.

»Vores foreløbige undersøgelse tyder på, at dette har krævet en bevidst uautoriseret adfærd, men dette er der også lukket for nu.«

Ikke umiddelbart retslige skridt

Skulle Jonas Boserup en anden gang finde frem til sårbarheder, opfordrer Aino Olsen ham til at tage fat i STIL direkte. Ikke mindst fordi Aino Olsen mener, det tyder på, at Jonas Boserups måde af fejlfinde i systemerne på kan være på kant med loven:

»En anden gang vil jeg opfordre den meget opfindsomme unge mand til at tage fat i os direkte.«

STIL har dog ikke umiddelbart tænkt sig at tage retslige skridt over for Jonas Boserup, påpeger Aino Olsen. I stedet vil styrelsen nu tage en dialog med den pågældende skole.

Jonas Boserup føler sig nu heller ikke videre som en kriminel hacker. Han henviser blandt andet til, at adressen på hjemmesiden, der giver adgang til systemet, ikke er videre hemmelig.

»Det vil jeg ikke mene. Denne adresse er offentlig kendt. Jeg har ikke siddet og slået med en hammer på systemet og tvunget de her oplysninger frem. Der har ikke været nogen beskyttelse overhovedet,« siger han og tilføjer:

»Jeg synes ikke, jeg har gjort noget forkert, men at jeg har gjort det rigtige ved at underrette Datatilsynet. Jeg har mit på det rene og kan sagtens forsvare det.«