En systemfejl er skyld i, at omkring 750.000 børn og voksne har fået lækket deres personlige oplysninger.
Det er et system hos Gyldendal Uddannelse, der havde den skæbnesvangre fejl, der tillod personer med lidt teknisk kunnen at skaffe sig utilsigtet adgang. Det fremgår af en aktindsigt, TV2 har fået.
Og markedsdirektøren hos Gyldendal Uddannelse, Henrik Gejlager, lægger da heller ikke skjul på, at de er godt trætte af sagen:
"Det er forbandet. Der er ingen tvivl om, at det ikke er godt nok," siger han til TV2.
Tre slags informationer er blevet lækket
Gyldendal blev tippet om sikkerhedsfejlen d. 16. maj. Anmelderen spurgte, om det var meningen, at man kunne tilgå databasen, der rummer omkring 3000 skoler og uddannelser, uden tilladelse.
Hvis ikke Gyldendal fik rettet op på fejlen, ville anmelderen kontakte Datatilsynet. Men det nåede han ikke, for Gyldendal endte med selv at melde det - selvsamme dag.
De lækkede oplysninger kan deles op i tre kategorier:
Elevere og lærere fulde navne
Brugernavne til interne systemer
Klasse- og institutionstilknytning - altså om personen er lærer eller elev
Beskyttede navne har ikke været en del af det lækkede datasæt.
Det er da heller ikke uhyrligt sensitive oplysninger, der har været tilgængelige for uvedkommende. Der har heller ikke været tale om et decideret brud på GDPR-reglerne, der handler om beskyttelse af personfølsomme informationer i EU-regi.
Alligevel beskriver it-sikkerhedsekspert, Peter Kruse, sagen som "virkelig ærgerlig" over for TV2 - særligt, fordi systemet går tilbage til 2007, og sikkerhedshullet derfor potentielt har eksisteret i årevis.
"Jeg bliver virkelig ærgerlig over, at man sløser så meget med andre personers data. Det kan man ikke være bekendt," siger han til TV2.
Det kan informationerne bruges til
Der har været i alt 22 dataudtræk, altså hvor de lækkede oplysninger er blevet hentet af personer, der ikke burde have adgang. 21 af tilfældene har drejet sig om specifikke skoler og institutioner og sågar enkeltpersoner.
De lækkede informationer kan bruge til både identitetstyveri og at snage i andres personlige oplysninger. For eksempel kan elever med unikke navne eller forældre, der er interessante for eksempel en efterretningstjeneste, blive opsøgt på skolen. Man kan nemlig bruge navnet på eleven og forældrene til at finde ud af, hvilken skole eleven går på.
Henrik Gejlager kan ikke love, at en lignende sag ikke dukker op igen, men han siger til TV2, at de gør alt for at sikre sig, at det ikke sker igen.
For at sikre det har de blandt andet hyret et cybersikkerhedsfirma til at hjælpe i den konkrete sag, hvor firmaet er blevet bedt om at gennemgå alle Gyldendals systemer for at finde eventuelle fejl og huller.