Personuppgiftspolicy

Vi använder cookies för att förbättra funktionaliteten på våra sajter, för att kunna rikta relevant innehåll och annonser till dig och för att vi ska kunna säkerställa att tjänsterna fungerar som de ska.

Läs mer i vår cookiepolicy.

Läs mer

Säkerhetsskandal hos Stockholms stad – elevers personnummer synliga

Säkerhetslucka i miljardprojekt – elevers personnummer tillgängliga för allmänheten.
Foto: Fredrik Sandberg/TT / TT NYHETSBYRÅN / Fredrik Sandberg
Med bara några knapptryck kunde barns personnummer, omdömen och skola tas fram.
”Det tog mig fem minuter. Det är extremt personliga uppgifter som jag inte borde ha tillgång till”, säger föräldern som upptäckte säkerhetsluckan. Foto: Øijord, Thomas Winje / SCANPIX NORWAY

Stockholms miljardprojekt Skolplattformen har en stor it-säkerhetslucka.

En uppmärksam förälder kunde med några knapptryck ta fram barns personnummer, omdömen och vilken skola de går i. 

– Det tog mig fem minuter. Det är extremt personliga uppgifter som jag inte borde ha tillgång till, säger föräldern.

Risken är att skyddade personuppgifter har gått att nå via systemet.

Vid lunchtid på onsdagen stängdes de drabbade delarna av Skolplattformen ned, bekräftar Stockholms Stad. 

Personnummer, omdömen och skola. 

Allt har funnits tillgängligt några få knapptryck bort på Stockholms stads utskällda miljardprojekt Skolplattformen, som samlar uppgifter om alla skolbarn i Stockholm. 

Det var en uppmärksam förälder, till vardags webbutvecklare, som upptäckte den allvarliga säkerhetsluckan genom att använda vanliga webbverktyg som finns inbyggda i webbläsaren Chrome.

Hans egna barn går i skola i Stockholms stad och han har under lång tid varit frustrerad över hur dåligt Skolplattformen fungerar. 

– Jag bestämde mig för att ta reda på hur kommunikationen mellan webbläsare och skolplattformens server går till, förklarar han.

Stockholms stad har nu stängt ned de drabbade delarna av Skolplattformen. Staden bekräftar i ett pressmeddelande:

”Vid lunchtid i dag stängdes en del i skolplattformen. Den del som är tillfälligt stängd är elevdokumentation där det finns personuppgifter om elever och lärare. Stockholms stad ser allvarligt på det inträffade.”

https://twitter.com/Stockholmsstad/status/1164159992381038593?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1164159992381038593&ref_url=https%3A%2F%2Fbn-klara-xpr-prod.trusted.elx.ohoy.io%2Fedit%2F7224a277-654f-40c5-acc7-a3aee8c7cacf

Senare på onsdagen skickade Stockholm stad ut ett nytt pressmeddelande där de bekräftade att datan legat ute för de som varit inloggade. 

– Åtkomsten till personuppgifter har endast varit möjlig genom att i inloggat läge aktivt göra ändringar i programmeringskoden. Det är självklart allvarligt nog. Vi stängde skyndsamt ner den del av skolplattformen som berörs för att förhindra åtkomst. Vi utreder nu händelsen för att kartlägga omfattningen och åtgärda bristerna, säger Johanna Engman, it-direktör i Stockholms stad i ett pressmeddelande. 

 

Kunde se barnens omdömen 

Varje barn och lärare har en unik sifferkombination som används när webbläsaren hämtar uppgifter från servern. Genom att ändra den sifferkombinationen, från till exempel 12345 till 12346, fick föräldern upp ett helt annat namn. 

– Det kom ut uppgifter på barn och lärare jag inte känner igen, förklarar han.

Barnens betyg gick inte att se, men däremot omdömen. 

– Jag tyckte först att det var allvarligt att få ut alla lärare, sen alla barn och sen alla omdömen. Det är extremt personliga uppgifter som jag inte borde ha tillgång till.

Det kan finnas en risk att även barn med skyddade personuppgifter kan ha gått att söka upp på det här sättet. 

– Det är svårt att veta, men det man man säkert tänka sig, säger föräldern.

Internetstiftelsen: Oroväckande

Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen, anser att säkerhetsluckan är oroväckande.

– Vi pratar väldigt mycket om den offentliga förvaltningens e-tjänster, och oftast gör vi det i ett rosa skimmer av att allt kommer att bli effektivt och bra. I själva verket dyker det gång efter annan upp sårbarheter som är av ganska allvarlig karaktär, säger hon och fortsätter:

– Som man kan konstatera när man läser er artikel: Det krävs inga avancerade kunskaper för att hitta den här typen av sårbarheter i systemet.

Vad kan säkerhetsluckan få för konsekvenser?

– Det är aldrig bra om personuppgifter, som i det här fallet bland annat gäller minderåriga, hamnar hos obehöriga. Användardata har ett stort värde. De kan säljas vidare och utnyttjas på olika sätt.

Det hade varit möjligt för utvecklaren att själv upptäcka och bygga bort säkerhetsluckan, menar Anne-Marie Eklund Löwinder.

– Det är jag övertygad om. Vad som krävs är att man innan man lanserar tjänsten genomför alla tänkbara tålighets- och uthållighetstester, ungefär som när en möbelfabrik testar möblerna innan man lämnar ut dem i produktion.

◼︎◼︎ Detta är en nyhetsartikel. Expressen granskar, avslöjar och ger dig de senaste nyheterna på ett objektivt och sakligt sätt. Mer om oss här.