Personvern
Oppdaget sikkerhetsbrudd i Studentweb:
Flere læresteder valgte å ikke varsle studentene
Sikkerhetshullet kan ha eksistert siden 2010.
Publisert
Sist oppdatert
Den 13. januar ble 34 læresteder varslet om et omfattende sikkerhetshull knyttet til tjenesten StudentWeb. Dette kommer frem i et dokument fra kunnskapssektorens tjenesteleverandør Sikt Universitas har fått innsyn i.
Sikkerhetshullet gjorde det mulig for andre å få tilgang til innloggede brukeres Studentweb, og økte sårbarheten for et hijack-angrep.
Dette ville gitt tilgang til person- og kontaktinformasjon, dokumenter i studentens dokumentarkiv, innsyn i og endringer av oppmeldinger til undervisning og eksamen, innsyn i resultater, samt gjennomføring av bestillinger og innsending av klager på sensur eller formelle feil ved eksamen.
Sikkerhetshullet ble lukket 12. januar. Ifølge Sikt er det ingen indikasjoner på at sårbarheten er utnyttet. Likevel kan de ikke utelukke dette lenger tilbake i tid. I verste fall kan sikkerhetshullet ha eksistert helt siden 2010.
Seks måneder tilbake i tid
Sikkerhetsbruddet er knyttet til JavaMelody, et verktøy for overvåkning og analyse, som ble innført i 2010.
Sikts logger slettes normalt etter seks måneder. De har derfor ikke oversikt tilbake til innføringen av verktøyet.
– Vi anser det som lite sannsynlig at dette sikkerhetshullet har vært tilgjengelig så langt tilbake som til 2010, men vi har ikke logger så langt tilbake og kan ikke utelukke det, sier kommunikasjonssjef i Sikt, Åshil Berg-Tesdal.
Sikt arbeider nå med å evaluere hendelsen, og iverksette nødvendige tiltak for å hindre at lignende utfordringer skjer igjen. JavaMelody er fjernet, og vil ikke bli tatt i bruk i tjenestene igjen.
Det er totalt 34 institusjoner som bruker Studentweb i Norge. Universitas har vært i kontakt med ti av dem, som alle er lokalisert i Oslo.
Varslet ikke studenter
Lærestedene berørt av feilen har selv ansvaret for å varsle brukere av tjenestene, men bare ett av lærestedene i Oslo Universitas har vært i kontakt med forteller at de valgte å varsle studentene sine.
– Vi er glad i studentene våre, og vil at de skal vite om det som skjer. Det å informere var helt naturlig for oss å gjøre, forteller Audun Giske, IT-sjef på Høyskolen Kristiania til Universitas.
Blant de som ikke varslet sine studentene er Universitetet i Oslo, Norges Musikkhøgskole, Politihøgskolen, Norges idrettshøgskole (NIH).
De tre lærestedene begrunner valget med at sjansen er liten for at sikkerhetshullet ble utnyttet og at studentene deres ble berørt.
«Vi vurderer at en generell melding om at noe kan ha skjedd for mer enn seks måneder siden vil innebære unødvendig usikkerhet og bekymring hos et stort antall tidligere og nåværende studenter som ikke har grunn til det.» skriver Kaja Stene, seniorrådgiver i NIH, til Universitas over e-post.
Giske tror på sin side at dette er en melding studentene er i stand til å lese og forstå hva innebærer.
– Vi var også tydelige på at sikkerhetshullet var stengt og at ingenting tydet på at hullet var utnyttet, forteller Giske.
Universitas har også vært i kontakt med VID vitenskapelige høgskole, NLA høgskolen, Oslomet, Arkitektur- og designhøyskolen i Oslo, Lovisenberg Diakonale høgskole, Kunsthøgskolen i Oslo, men de har per tirsdag kveld ikke hatt muligheten til å besvare avisens henvendelser.
