‘Ekspert efter datalæk af 2700 RUC-ansøgeres CPR-numre: ”Det vil være usandsynligt, hvis ikke nogen af dem er blevet hacket”’ 
15.09.2021

Ekspert efter datalæk af 2700 RUC-ansøgeres CPR-numre: ”Det vil være usandsynligt, hvis ikke nogen af dem er blevet hacket”

A
Aktuelt
15.09.2021
6 min
I omkring et døgn kunne alle og enhver med en internetforbindelse se 2700 RUC-ansøgeres CPR-numre, mailadresser og navne. Ifølge lektor i digital forvaltning på Københavns Universitet, Hanne Marie Motzfeldt, vil de studerende have en øget risiko for identitetstyveri.

Skrevet af

Mange af de nyklækkede studerende på RUC fik sig noget af en digital velkomst.
En stor del af dem havde nemlig fået deres CPR-numre og e-mailadresser lækket, så disse oplysninger var tilgængelige på internettet mellem d. 26 og 27 juli.

Lektor i digital forvaltning på Københavns Universitet, Hanne Marie Motzfeldt mener, at ansøgerne bør tage sig i agt for, at kriminelle på det mørke internet vil begå identitetstyveri og misbruge deres personlige oplysninger.

»Sandsynligvis vil de være i en øget risiko for at blive udsat for identitetstyveri. Derfor bør de omgående skifte deres passwords på deres forskellige kontoer, for mange af dem er blevet hacket,« siger Hanne Marie Motzfeldt.

Kan du sige med sikkerhed, at nogle af dem er blevet hacket?

»Det vil være usandsynligt, hvis ikke nogen af dem er blevet hacket,« lyder det fra lektoren.

Studerende opdagede fejlen
Hvordan de studerendes oplysninger kan være i fare for at havne i de forkerte hænder, og hvordan eksperten kan være så skråsikker i sin påstand, vender vi tilbage til.
Lad os starte med at se på, hvordan fejlen blev opdaget.
Tirsdag morgen d. 27 juli scrollede Mads Clemmensen rundt på internettet. Han skulle til september starte på den samfundsvidenskabelige bachelor og var derfor ofte på RUC’s forskellige IT-platforme for at se, om der var nyheder om studiestart. Han opdagede straks, at der var noget galt, da han ville tjekke en besked i Postbox, som er den platform, universitet bruger til at kommunikere med de studerende.

»Jeg kunne se, at jeg havde adgang til alle mulige faner, man kunne klikke rundt på, som jeg ikke havde normalt. Så blev jeg nysgerrig, og så popper der nogle informationer op med, at nogle har fået afslag, og nogle er optaget på det studie, de havde søgt. Lige pludselig kan jeg se en mappe med 500 CPR-numre,« fortæller den studerende.

Her vidste Mads Clemmensen godt, at noget var helt galt. Derfor ringede han med det samme til RUC.

»Jeg fik fat i receptionisten og sagde, at jeg gerne ville snakke med IT-afdelingen, fordi jeg sidder og kigger på en liste med 500 studerendes CPR-numre. Jeg bliver viderestillet til en medarbejder og forklarer ham om problemet. Herfra går der omkring en halv time, før de har lukket dokumentet ned og har løst problemet.«

Senere hen fremgik det, at de personlige oplysninger har været tilgængelige siden mandag morgen, og at det ikke kun er 500, men 2700 personer, der har fået deres oplysninger lækket.

Passwords kan være opsnappet
Men hvordan kan cyberkriminelle bruge disse CPR-numre til at opsnappe ansøgernes passwords til deres andre kontoer? Det har Hanne Marie Motzfeldt et svar på.

»Det, man skal forstå, er, at de passwords vi bruger til vores andre kontoer som FaceBook, LinkedIn, Netflix osv. højst sandsynligt allerede ligger på det mørke internet, fordi disse platforme har visse sikkerhedshuller. Det er ikke et problem, hvis man jævnligt skifter password, men erfaringen viser altså, at det langt fra er størstedelen, der gør dette,« lyder det fra lektoren.

Passwords er ikke svære for it-kriminelle at få adgang til. Derfor kan et CPR-nummer altså åbne for nogle muligheder, da de via navn og mailadresse kan forbinde disse faktorer.

»Et CPR-nummer kan på mange måder være en dåseåbner for flere oplysninger. Hvis de kriminelle kan forbinde det med navn, mailadresse og et password, vil de sandsynligvis kunne få adgang til de unge menneskers FaceBook, Netflix eller Just Eat, hvis de er på disse enheder. Og hvad har denne slags konti til fælles? At ens bankoplysninger står der. Måske ikke FaceBook, men man bruger FaceBook til at logge ind på mange af disse services.«

Og så har vi balladen. Der har nemlig været eksempler på, at IT-kriminelle har brugt folks bankoplysninger til at foretage små overførsler til sig selv og på længere sigt stjæle store beløb.

»Mange IT-kriminelle har falske virksomheder i udlandet, hvor de bruger bankoplysninger fra dem, de har hacket, til at købe fiktive varer. Det er ikke store beløb, de køber for, men lad os sige, at de trækker 11 kroner om måneden fra 500 studerende. Så løber det alligevel op. Det her er bare én ud af rigtig mange måder, som de her hackere kan begå IT-kriminalitet på,« forklarer forskeren.

En beklagelig fejl
Universitetsdirektør på RUC, Peter Lauritzen, understreger alvoren i denne fejl og har forståelse for de studerende, som er bekymret for identitetstyveri.

»Der er i en arbejdsproces opstået en beklagelig fejl, som uheldigvis medfører, at personnumrene var tilgængelige i lidt under et døgn. Et brud på persondatasikkerheden er altid alvorligt, og det er forståeligt, hvis berørte personer har oplevet nervøsitet. Alle, der har ønsket det, har haft mulighed for at kontakte RUC’s sikkerhedsfunktion for yderligere vejledning, uddybning og svar på spørgsmål,« siger direktøren.

Han konstaterer også, at universitetets ledelse arbejder på højtryk på at forebygge, at sådan en hændelse skulle kunne ske i fremtiden.
»RUC er i gang med at indkøbe yderligere ekstern assistance til at forbedre sikkerheden, således at dette ikke sker igen. Sideløbende har RUC nedsat en intern arbejdsproces, hvor der tages flere forskellige initiativer relateret til arbejdsprocesser og tekniske barrierer,« siger Peter Lauritzen.

Udmeldingen om, at der er sket en beklagelig fejl, kan Studenterrådet på RUC kun tilslutte sig.

»Det er jo beklageligt. Det her skulle jo ikke have været sket, for det kan stille nogle mennesker i en ærgerlig situation,« siger næstforperson for Studenterrådet på RUC, Daniel Wilken.

Studenterrådet har også gjort en stor indsats for, at de nye studerende har fået en ordentlig velkomst på trods af, at dette er sket.

»Vi har informeret alle rus-vejlederne i introperioden om, at den her episode er sket, og at RUC selv har styr på det. Her har vi gjort opmærksom på, at hvis der kommer nogle nye studerende, som har været utrygge, vil vi gerne snakke med dem om det,« siger Daniel Wilken.

Skift dine passwords lige så tit, som du skifter din tandbørste
Men hvad kan man gøre, hvis man er én af de ansøgere, som har fået sine oplysninger lækket?
Ifølge lektor Hanne Marie Motzfeldt bør man tage nogle klare forholdsregler.

»Jeg ville gribe ind på de helt elementære sikkerhedstiltag, som alle burde gøre uanset hvad.
Jeg ville først og fremmest ændre alle mine passwords til mine forskellige tjenester. Gerne lange besværlige koder hvor æ, ø og å indgår, fordi det bliver sværere for udenlandske hackere at gennemskue. Center for cybersikkerhed siger, at du skal skifte dine passwords lige så tit, som du skifter din tandbørste,« lyder det fra lektoren.

En anden ting man bør gøre er at holde øje med sin bankkonto.
»Hvis der er små uforklarlige transaktioner, ville jeg være påpasselig. Det kan være 25 kroner eller 15 kroner. Disse tilfældige småbeløb kan ende ud i ret store pengemængder,« siger Hanne Marie Motzfeldt.

Ifølge Det Kriminalpræventive Råd blev 5 pct. af den danske befolkning udsat for IT-kriminalitet i 2020. Til sammenligning var det kun 4 pct. i 2019 og tre procent i 2018.

 

Fakta boks:

Det kriminalpræventive råd, Digitaliseringsstyrelsen og Rigspolitiet har udarbejdet 10 færdselsregler for sikker trafik på nettet.

Færdselsreglerne kan minimere risikoen for, at dine personlige oplysninger ender i de forkerte hænder:

Sørg for, at alle programmer på din pc er opdaterede.
Brug både antivirusprogram og firewall.
Sørg for, at dit trådløse netværk er krypteret.
Vær tilbageholdende med at videregive personlige oplysninger.
Vær meget tilbageholdende med at videregive fortrolige oplysninger.
Brug adgangskode.
Send aldrig fortrolige og personlige oplysninger i e-mail.
Oplys ikke fortrolige og personlige oplysninger på sociale netsteder, debatsider og i chatrum.
Sørg for, at dine bærbare enheder er sikre.
Lær dine børn gode it-sikkerhedsvaner på nettet.