Säkerhet

Läcka i Hjärntorget – sårbarhet i Göteborgs skolplattform

Foto: Fredrik Sandberg/TT
Foto: Skärmdump
Foto: Skärmdump

Med ett enkelt knep gick det att få ut personuppgifter till elever, vårdnadshavare och personal från Göteborgs skolplattform Hjärntorget.

Publicerad

Genom några enkla kodrader hade vem som helst som var inloggad på Hjärntorget i teorin kunnat få ut namn och i vissa fall kontaktuppgifter tillhörande alla elever, alla vårdnadshavare och all personal på kommunala skolor i Göteborg. Plattformen har 193 000 användare och används från förskola upp till gymnasium och vuxenutbildning.  

Sårbarheten upptäcktes av Emil Lindqvist som jobbar med Öppna skolplattformen. Han är en av utvecklarna som håller på att bygga en version av appen som ska fungera på Göteborgs skolplattform.  

I det arbetet försöker han kartlägga hur Hjärntorget fungerar bakom kulisserna. Där upptäckte han att alla användare hade fått ett användar-id i plattformen, och att han genom att anropa plattformens api kunde använda detta för att få ut andra personers personuppgifter.  

– Eftersom användar-id:t hade ett ganska förutsägbart format kunde man potentiellt sett skicka samma anrop om och om igen med olika användar-id och därigenom få ut namn och e-post till alla användare på Hjärntorget. Alla föräldrar, alla barn och all skolpersonal, säger Emil Lindqvist. 

Efter att Göteborgs stad undersökt problemet kan de konstatera att e-post bara gick att få ut ur systemet om användaren ifråga godkänt att dela den med andra i samma grupp på Hjärntorget, som klasskamrater eller kollegor.  

Emil Lindqvist kunde själv bekräfta sårbarheten genom att låta en kollega som också har barn på en skola i Göteborg testa. Kollegan skickade in Emils användar-id i systemet, och fick ut hans personuppgifter. 

Åtgärdade sårbarheten snabbt

Efter upptäckten sökte Öppna skolplattformen kontakt med Göteborgs stad, och kommunen kunde snabbt åtgärda bristerna i systemet.  

– Vi skickade in en rapport i måndags förra veckan och på bara någon timme hade de åtgärdat problemet och återkopplat till oss. Det kändes väldigt tryggt hur de valde att hantera det, säger Christian Landgren på Öppna skolplattformen. 

Göteborgs stad har också gjort en anmälan om en personuppgiftsincident till Integritetsskyddsmyndigheten, IMY. 

– Vi ser så klart allvarligt på alla incidenter, och tycker att det var bra att de omgående kontaktade oss så att vi kunde påtala detta för vår leverantör som snabbt stängde säkerhetsluckan. Det skedde på en timme ungefär, säger Carina Helgesson-Björk som är verksamhetschef på Göteborgs stads intraservice. 

Vet ni om någon använt den här sårbarheten för att få ut personuppgifter?  

– Det första steget var att leverantören åtgärdade problemet, och nu håller de på att titta på den frågan, det har vi inte fått svar på ännu.  

Hjärntorget utvecklas av it-företaget Ping Pong, som också är en av leverantörerna av Skolplattformen i Stockholms stad. Där upptäcktes en snarlik sårbar för två år sedan, efter att en förälder med bakgrund som utvecklare började undersöka hur plattformen fungerade. I det fallet fick Stockholms stad betala fyra miljoner kronor i sanktionsavgift.  

Efter att Ping Pong uppmärksammats på den nya svagheten i Göteborg har en uppdatering som åtgärdar problemet gått ut till alla andra aktörer som också använder sig av bolagets skolplattform, skriver bolaget i ett mejl till Ny Teknik.