Tre klik med musen.
Mere krævede det ikke af 26-årige Mads Clemmensen at fremsøge cpr-numre på flere tusinde ansøgere til Roskilde Universitet (RUC).
- Jeg tænkte: "Det kan simpelthen ikke være meningen, at jeg skal kunne se der her", siger han til TV 2.
Der indså jeg, at den var helt gal
Optagelsesbreve og cpr-numre
Ved en fejl var en medarbejder kommet til at ændre adgangsrettighederne på Postbox, som er den portal, RUC blandt andet kommunikerer med kommende studerende på. En sag TV 2 afdækkede lørdag.
Det betød, at alle fra mandag middag til tirsdag morgen kunne tilgå Postbox uden login og fremsøge lister med fuldt navn og cpr-numner på cirka 2700 personer.
Derudover lå også optagelses- og afslagstatus på de forskellige elever frit tilgængeligt.
På den måde opdagede Mads Clemmesen, at han var optaget på RUC, inden han officielt modtog beskeden.
- Jeg kunne se min egen optagelsesstatus. Og andres. Der indså jeg, at den var helt gal, siger den kommende journaliststuderende.
Herefter kontaktede han straks universitet.
I har et kæmpeproblem
- I har et kæmpeproblem
Mads Clemmesen fik fat på receptionen og bad om at tale med universitetets it-afdeling.
Men det var ikke muligt, fordi de medarbejdere på daværende tidspunkt ikke var mødt ind endnu. Sådan var meldingen i hvert fald, indtil den kommende studerende skar alvoren ud i pap:
- I har et kæmpeproblem, jeg sidder og kigger på 500 personers cpr-numre lige nu, sagde han.
Og blev straks stillet om til afdelingen, som han forklarede om sit fund.
Det satte gang i tingene, og kort tid senere var problemet på hjemmesiden løst.
Der er ingen tvivl om, at kriminelle allerede har de data
Selvom der ifølge Mads Clemmesen er tale om "helt tydelige fejl" fra RUC's side, mener han alligevel, at universitet håndterede sagen efter bedste evne, da problemerne blev opdaget.
Meldt til Datatilsynet
Mads Clemmensen opdagede lækket, under et døgn efter at fejlen var sket.
Alligevel er sagen meget slem ifølge Hanne Marie Motzfeldt, der er lektor i digital forvaltning ved Københavns Universitet og har en ph.d.-grad i databeskyttelsesret.
- Cpr-numre er som en dåseåbner. Når du først har et, skal der ingenting til, før du kan begå identitetstyveri, sagde hun lørdag til TV 2.
- Der er ingen tvivl om, at kriminelle allerede har de data. De florerer på det mørke internet og kan købes nemt.
Lige nu er sagens forløb ved at blive undersøgt til bunds. Og Peter Lauritzen, der er universitetsdirektør på RUC, understregede lørdag overfor TV 2, at den bliver taget "ekstremt alvorligt".
Universitetet har meldt sagen til Datatilsynet, mens de involverede har fået tilsendt et elektronisk brev, hvor de bliver gjort opmærksom på, at deres personoplysninger har været tilgængelige for uvedkommende og kan være blevet misbrugt.
_
