Namn, personnummer – och omdömen. Det är uppgifter som kan ha blottats av en säkerhetslucka i det omtvistade it-systemet Skolplattformen. Nu har Stockholms stad stängt delar av systemet.

(Artikeln är uppdaterad)

Skolplattformen är det it-system som Stockholms stad använder för att sköta ärenden kring elevers skolgång, samt kontakten med barnens föräldrar.

På onsdagen stängde Stockholms stad delar av systemet. Detta efter att en privatperson och Skolplattformen-användare upptäckt en säkerhetslucka som gjorde det möjligt att hämta ner känslig information om både elever och lärare från systemet.

Stockholms stad bekräftar att det finns en säkerhetslucka och att man har inlett en felsökning.

”Vid lunchtid i dag stängdes en del i Skolplattformen. Den del som är tillfälligt stängd är elevdokumentation där det finns personuppgifter om elever och lärare. Stockholms stad ser allvarligt på det inträffade”, skriver Stockholms stad i ett pressmeddelande.

Ny Teknik har varit i kontakt med användaren, som berättar att han själv har barn i en skola i Stockholms stad och ursprungligen bestämde sig för att titta närmare på varför Skolplattformen var så pass långsam.

– Jag är webbutvecklare i grunden, och hittade snabbt saker som gjorde mig fundersam kring säkerheten i systemet, säger han, som vill förbli anonym.

”Mitt förtroende är numera obefintligt”

Med hjälp av ett egenskrivet skript, som skickade en sekvens av anrop till backend-systemet, insåg användaren att han kunde få ut namn och personnummer till alla lärare i Stockholms stad – samt skolelevernas omdömen.

– Jag såg snabbt att anropen innehöll alldeles för mycket data och dessutom uppgifter som inte borde vara där. Mitt förtroende för Stockholms stad och Skolplattformen är numera obefintligt. Jag är själv förälder, och tycker att det är chockerande att säkerheten är så dålig. Det rör sig ändå om väldigt känsliga personuppgifter som dessutom berör barn.

Har du kontaktat Stockholms stad för att berätta vad du hittat?

– Jag har sökt flera ansvariga genom flera olika kontaktvägar, men har aldrig fått återkoppling säger användaren.

– Jag är ingen elithackare utan bara en nyfiken utvecklarpappa. Det här är ett projekt i mångmiljonklassen och ändå var dörrar rakt in i systemet mer eller mindre vidöppna. En fråga som man bör ställa sig är vilka andra som kan ha kommit över databasen innan Stockholms stad stängde systemet, fortsätter han.

Anne-Marie Eklund-Löwinder, säkerhetschef vid Internetstiftelsen, är kritisk till hur enkelt det gick till att få fram så här känsliga uppgifter – i synnerhet då det handlade om barns personuppgifter.

– I dag vet allt fler hur man kodar. Här var det inga unika kunskaper som krävdes, det var busenkelt. På det sätt personen fick fram informationen pekar på att det inte finns något skydd i databasen som hindrar att en inloggad person ska kunna plocka ut andra uppgifter än de har rätt till, säger Anne-Marie Eklund-Löwinder.

Finns sannolikt liknande säkerhetsbrister på andra plattformar

Hon tillägger att personuppgifter i dag är hårdvaluta och säger att det samtidigt finns ett slags rosa skimmer över samhällets digitalisering och e-tjänster.

– Det här har vi inte råd med från samhällets sida, att förtroendet naggas i kanten för de digitala tjänsterna. Att den här typen av förhållandevis triviala brister uppdagas allt som ofta, säger hon.

Hon tillägger att det sannolikt finns liknande säkerhetsbrister på andra plattformar.

– Jag tror att det här är ett generellt problem som man måste ta på största allvar, säger Anne-Marie Eklund-Löwinder.

Enligt Stockholms stad arbetar man med att ta reda på hur detta kunde ske.

– Nu pågår en utredning för att se dels vad som hänt, omfattningen av det och vilka nödvändiga åtgärder vi behöver göra för att kunna öppna modulen igen, säger Johanna Engman, it-direktör vid Stockholms stad, till TT.

”Åtkomsten till personuppgifter har endast varit möjlig genom att i inloggat läge aktivt göra ändringar i programmeringskoden. Det är självklart allvarligt nog. Vi stängde skyndsamt ner den del av skolplattformen som berörs för att förhindra åtkomst. Vi utreder nu händelsen för att kartlägga omfattningen och åtgärda bristerna” skriver Johanna Engman i ett pressmeddelande på onsdagskvällen.

Plattformen har tidigare fått kritik för bland annat de höga kostnaderna. Datainspektionen har även mottagit flera anmälningar om personuppgiftsincidenter kopplade till plattformen.

Över tusen elever ska förra året ha fått sina personuppgifter spridda till obehöriga från Skolplattformen och bland annat ska frånvaro-sms skickats till fel vårdnadshavare och att personuppgifter från en elev med skyddad identitet röjts, rapporterade SVT Stockholm.