Universitet i kæmpe datalæk: - De kriminelle har alle informationerne nu, siger ekspert

En studerende opdagede, at han med få klik kunne se andres cpr-numre.

31-07-2021 20:37:00

Universitet i kæmpe datalæk: - De kriminelle har alle informationerne nu, siger ekspert

En studerende opdagede, at han med få klik kunne se andres cpr-numre.

Det bekræfter Roskilde Universitet (RUC), som administrerer hjemmesiden, over for TV 2 lørdag.- Vi tager det meget alvorligt, og vi er utroligt kede af sagen, siger Peter Lauritzen, som er universitetsdirektør på RUC.Et cpr-nummer er som en dåseåbner. Når du først har det, skal der ingenting til, før du kan begå identitetstyveri

Kommentar | Jonas Herby: Der er masser af unødvendige regler – og det koster danskerne Politikere kritiserer regeringen efter planlagt hjemtagelse af kvinde med dobbelt statsborgerskab Regeringen går imod egen linje: Én kvinde med dobbelt statsborgerskab hentes hjem fra Syrien

Hanne Marie Motzfeldt, lektor, digital forvaltningRUC har meldt sagen til Datatilsynet, og alle de involverede har fået tilsendt et elektronisk brev, hvor de bliver gjort opmærksomme på, at deres personoplysninger har været tilgængelige for uvedkommende og kan være blevet misbrugt.

TV 2 er besiddelse af brevet.Fredag 30. juli sendte Roskilde Universitet brev ud til cirka 3300 personer.Foto: TV 2En menneskelig fejlMads Tolderlund, som er databeskyttelsesrådgiver på RUC, forklarer, at datalækket skete, da en medarbejder ved en fejl kom til at ændre adgangsrettighederne på postbox, som er den portal, RUC blandt andet kommunikerer med kommende studerende på. headtopics.com

Herfra kunne alle tilgå postbox uden login og fremsøge lister med fuldt navn og cpr-numre på alle danske studerende, der har søgt om optagelse på RUC det seneste halve år.Samtidig kunne man via individuelle søgninger se personlige breve med information om optagelse eller afslag. Flere e-mails var også tilgængelige.

50.000 telefonnumre lækket - kobles til israelsk spionfirmaDet er i alt 3300 studerende, som er involveret i datalækket, dog er det"kun" 2700 af dem, hvis cpr-numre har været tilgængelige, forklarer Mads Tolderlund.Normalt er det kun muligt at tilgå oplysninger om sig selv på postbox, og det sker ved at logge ind med NemID eller studielogin.

Blev opdaget af studerendeMads Tolderlund erkender, at det er en alvorlig fejl, men understreger samtidig, at den måde, hjemmesiden så ud på, mens cpr-numrene var tilgængelige, ikke er intuitiv for den almindelige dansker.- Jeg ved det ikke med sikkerhed, men jeg tror, at det er meget få, som har fundet frem til listerne med cpr-numre, siger han til TV 2.

Det her må bare ikke skePeter Lauritzen, universitetsdirektør på RUCFejlen skete mandag 26. juli klokken 13:45 og blev opdaget knap 19 timer efter, da en studerende tog kontakt til universitet. Det skete efter, at han havde fundet listerne. headtopics.com

Erfaringer fra dødsfald blev ikke delt: Eksperter efterlyser nationale retningslinjer for kødædende bakterier Advokater efter DR-afsløring: 'Regeringen forskelsbehandler kvinder i Syrien' EU-top beskylder USA for loyalitetsbrud i strid om ubåde

- Vedkommende var bekymret og ville sikre sig, at vi fik styr på sagerne og meldte episoden til Datatilsynet, hvilket vi naturligvis straks gjorde, siger Mads Tolderlund.Florerer på det mørke internetAt kun få har set cpr-numrene, køber Hanne Marie Motzfeldt dog ikke. Hun er lektor i digital forvaltning ved Københavns Universitet og har en ph.d.-grad i databeskyttelsesret.

Ifølge hende er sagen meget alvorlig, fordi den netop involverer cpr-numre.- Cpr-numre er som en dåseåbner. Når du først har et, skal der ingenting til, før du kan begå identitetstyveri, siger hun til TV 2.Nyt datalæk: Dansk Nordea-filial i centrum for potentiel hvidvask

Hanne Marie Motzfeldt mener heller ikke, at det gør den store forskel, at dataene kun var tilgængelig i et døgn, fordi kriminelle opsnapper cpr-numre, det sekund de bliver lækket via algoritmer.- Der er ingen tvivl om, at kriminelle allerede har de data. De florerer på det mørke internet og kan købes nemt.

Personer, som bliver udsat for identitetstyveri, oplever ofte at havne i et økonomisk kaos, fordi der bliver optaget lån i deres navn, hævet penge på deres konto og bestilt varer, forklarer Hanne Marie MotzfeldtI det brev, Roskilde Universitet har sendt, opfordres de cirka 3300 studerende da også til at holde øje med eksempelvis uventede transaktioner til og fra deres bankkonti i den kommende tid. headtopics.com

Må ikke ske igenPeter Lauritzen, universitetsdirektøren på RUC, oplyser til TV 2, at sagen bliver taget ekstremt alvorligt og nu skal undersøges til bunds.- Det her må bare ikke ske. Samtidig er der tale om en menneskelig fejl, og jeg kan derfor ikke garantere, at det aldrig nogensinde sker igen, siger han.

Han er glad for, at fejlen blev opdaget så hurtigt, og at medarbejderne på RUC reagerede prompte, samt at de involverede hurtigt fik besked.533 millioner Facebook-brugeres data er delt onlineDatabeskyttelsesrådgiver Mads Tolderlund understreger, at han sidder klar ved telefonen - også i weekenden - til at besvare alle eventuelle henvendelser fra bekymrede, kommende studerende.

Præsident Bidens 'America is back' vil blive mødt med skepsis og sure miner på FN's generalforsamling 1.428 døde delfiner har splittet færingerne. Mød 20-årige Roi Olsen, der var med i drabet Prisen på dansk svinekød bliver ved med at falde: 'Man kan roligt sige, at det har været en rutsjebanetur'

Datatilsynet skal nu undersøge sagen og vurdere, om RUC skal indstilles til en bøde for overtrædelse af persondataloven. Læs mere: TV 2 NEWS »

Undre ikke det er Roskilde Universitet (RUC) Pinligt Standard forklaringen “menneskelig fejl” “utroligt kede af” er slet ikke gangbar. Det er RUCs sikkerheds systemer den er helt gal med. En enkelt medarbejder må ikke kunne ændre i adgangsrettighederne til en database med personoplysninger. I det tilfælde krævede det også kendskab til, hvornår der var adgang til arkivet. Det fremgår af artiklen, at kriminelle kun havde adgang i en begrænset periode. Danske Cybersikkerhed arbejder i øvrigt også med hacking.

Personnummeret er som en hullet si Menneskelig fejl kan ikke være hvad som helst for at være acceptabelt eller blot forståeligt. En elev på kontoret har ved en fejl gjort det, og den ansvarlige blev samme dag hjemsendt som nær kontakt til positiv. CPR numre er i klasse med skruerne på tagpladerne.