[165.000] Elever og forældres CPR-numre og persondata stjålet efter hackerangreb på skolers it-systemer [KOMiT]
by Tumleren
[165.000] Elever og forældres CPR-numre og persondata stjålet efter hackerangreb på skolers it-systemer [KOMiT]
by Tumleren
10 comments
oh nej det lyder ikke godt.
Handler om, som jeg læser det, fri-, høj- og efterskoler.
KOMiT skriver: “Der er på nuværende tidspunkt ikke konstateret spredning af de stjålne data til tredjepart. Den formodede gerningsperson har øjensynlig ikke intentioner om at sælge eller dele informationerne, men derimod at sætte fokus på eventuelle sikkerhedshuller i de nævnte systemer. Vi kan dog ikke udelukke, at gerningspersonen efterfølgende vil sælge eller dele informationerne med andre.” – [https://support.komit.nu/hc/da/article_attachments/21842885499676](https://support.komit.nu/hc/da/article_attachments/21842885499676)
Det er uklart hvordan de har fået den information. Har de kommunikeret med personen? Har personen sendt KOMiT en email? Hvis personen blot ønskede at “sætte fokus på eventuelle sikkerhedshuller” hvorfor skriver KOMiT så at person “har tiltvunget sig adgang til en server for at kopiere og stjæle personoplysninger.” Det virker som om det er i modstrid.
Godt vi ikke snart skal til at dele endnu mere privat data med staten som, nå nej vent….
Edit: jeg ser nu de er private.
Apropos chatkontrol og det at ikke have ordentlig kryptering.
Dette angreb er et ret tydeligt eksempel på et generelt problem: små, niche-systemer har sjældent ressourcer til at opretholde samme sikkerhedsniveau som de store cloud-udbydere.
Hyperscalere som Azure, AWS og Google investerer milliarder i sikkerhed, patch-håndtering og 24/7 overvågning. De er ikke fejlfrie, men baseline-sikkerheden er typisk langt højere end hvad mindre leverandører kan tilbyde.
Jeg forstår godt de politiske bekymringer omkring amerikansk ejerskab og datasuverænitet. Men risikoen for datalæk i lokale løsninger er mindst lige så reel. Og for elever og forældre, der får lækket CPR-numre, følsomme oplysninger osv., er det nok en ringe trøst, at data i det mindste blev holdt i Europa.
Der findes mellemveje, fx sovereign cloud-løsninger i EU eller kryptering med egne nøgler oven på hyperscalere. Men helt at afvise de store spillere, fordi de er amerikanske, virker som at skyde sig selv i foden ift. borgernes datasikkerhed.
Hvorfor deles vi ikke alle sammen om det samme CPR nummer til hver aktivitet?
Skal til lægen, så bruger vi Lis’ CPR-nummer
Vrøvl med MitID? John’s CPR-nummer
Trafikforseelse? Jim, den har du!
De er alligevel allevegne snart. Bare del dem med alle du kender og fremmede på gaden, snart bliver de så ugyldige og misbrugte at de må finde på noget andet.
Jeg fik en af de mails på e-boks, og den var ret svær at regne ud ift hvad der egentlig er op og ned – men har nu meldt tilmeldt mig kreditadvarsel. Har gået på både friskole og efterskole og højskole, men kender ikke andre der har fået samme mail
Aula burde være bange.
Første udgave af mailen fra KomIT var helt forfærdelig. Der var stort set ingen information i selve mailen, men til gengæld var der en skummel vedhæftet fil med forkert MIME-type. Den kunne bringes til at åbnes som pdf efter lidt fiksfakserier, men det indgød ikke ligefrem tillid.
Andre fik anden version hvor informationen var flyttet ind i selve mailen.
Comments are closed.