Ett par knapptryck. Mer än så behövde inte en datakunnig person som vill komma åt studenters personuppgifter från Studentkortets webbplats, som har omkring 500 000 aktiva medlemmar. Det upptäckte en Lundastudent av en slump.
Namn, personnummer, adress, mail och telefon. Svenska studerandes personuppgifter är enkelt tillgängliga på Studentkortets hemsida, för den med grundläggande kunskaper i programmering. Enligt Studentkortets egen uppgift har man en halv miljon aktiva medlemmar. Företaget sysslar främst med studentrabatter och får sina personuppgifter från CSN.
– Jag reagerade på att det inte fanns någon kryptering och började titta närmare. Vad jag hittade gjorde mig förvånad. Så här enkelt ska det inte vara att komma åt personuppgifter. Risken att de har läckt ut på nätet, eller kommer att göra det, är stor, säger den student vid Lunds universitet som av en slump upptäckte bristerna i personuppgiftshanteringen.
Säkerhetsbristen bekräftas av Per Andersson, programdirektör för civilingenjörsprogrammet i datateknik vid Lunds tekniska högskola (LTH).
”[Det är] tydligt att Studentkortets webbsida inte har någon säkerhet. Man har inte tänkt på, eller ignorerat, säkerhet och personlig integritet när tjänsten utvecklades”, skriver han i ett mejl till Lundagård.
För Studentkortets vd Fredrik Grufvisare kom uppgifterna om brister i personuppgiftshanteringen som en total överraskning.
– Vi måste alltid se till de studenter vi representerar i första rummet och jobbar stenhårt för deras personuppgiftssäkerhet. Om det här stämmer, vilket jag måste kontrollera, så tar vi det på allra största allvar. Vi ska gå till botten med det här genast, säger han.
Efter att lundagård varit i kontakt med Fredrik Grufvisare, åtgärdade Studentkortet enligt honom säkerhetsbristerna.
”Vi har heller inga indikationer på att luckan har utnyttjats av någon.” skriver han i ett mejl till redaktionen.
Hantering av personuppgifter regleras i Personuppgiftslagen (PUL). Lagen säger i korthet att personuppgifter bara får behandlas när det är befogat, att behandlingen ska ha stöd i lag, avtal eller samtycke och att den som behandlar personuppgifter ska vidta ”lämpliga tekniska och organisatoriska åtgärder” för att skydda uppgifterna. Läckta uppgifter kan bland annat användas till ID-kapningar och så kallat nätfiske, skräppost i bedrägligt syfte.
Lundagård har varit i kontakt med tillsynsmyndigheten på personuppgiftsområdet, Datainspektionen, som säger att man inte vill kommentera enskilda fall.
I maj träder EU:s nya personuppgiftsförordning GDPR i kraft, som skärper kraven på personuppgiftshantering ytterligare och innebär att företag som inte följer reglerna kan få betala flera procent av sin omsättning i sanktionsavgift.
Artikeln har uppdaterats efter att Studentkortet hört av sig om att de åtgärdat säkerhetsbristerna.