I knap et døgn, fra mandag middag til tirsdag morgen, har alle med en internetforbindelse kunnet tilgå cirka 2700 universitet-ansøgeres cpr-numre via hjemmesiden postbox.
Det bekræfter Roskilde Universitet (RUC), som administrerer hjemmesiden, over for TV 2 lørdag.
- Vi tager det meget alvorligt, og vi er utroligt kede af sagen, siger Peter Lauritzen, som er universitetsdirektør på RUC.
Et cpr-nummer er som en dåseåbner. Når du først har det, skal der ingenting til, før du kan begå identitetstyveri
RUC har meldt sagen til Datatilsynet, og alle de involverede har fået tilsendt et elektronisk brev, hvor de bliver gjort opmærksomme på, at deres personoplysninger har været tilgængelige for uvedkommende og kan være blevet misbrugt.
TV 2 er besiddelse af brevet.
En menneskelig fejl
Mads Tolderlund, som er databeskyttelsesrådgiver på RUC, forklarer, at datalækket skete, da en medarbejder ved en fejl kom til at ændre adgangsrettighederne på postbox, som er den portal, RUC blandt andet kommunikerer med kommende studerende på.
Herfra kunne alle tilgå postbox uden login og fremsøge lister med fuldt navn og cpr-numre på alle de personer, der har søgt om optagelse på RUC det seneste halve år.
Samtidig kunne man via individuelle søgninger se personlige breve med information om optagelse eller afslag. Flere e-mails var også tilgængelige.
Det er i alt 3300 studerende, som er involveret i datalækket, dog er det "kun" 2700 af dem, hvis cpr-numre har været tilgængelige, forklarer Mads Tolderlund.
Normalt er det kun muligt at tilgå oplysninger om sig selv på postbox, og det sker ved at logge ind med NemID eller studielogin.
Blev opdaget af studerende
Mads Tolderlund erkender, at det er en alvorlig fejl, men understreger samtidig, at den måde, hjemmesiden så ud på, mens cpr-numrene var tilgængelige, ikke er intuitiv for den almindelige borger.
- Jeg ved det ikke med sikkerhed, men jeg tror, at det er meget få, som har fundet frem til listerne med cpr-numre, siger han til TV 2.
Det her må bare ikke ske
Fejlen skete mandag 26. juli klokken 13:45 og blev opdaget knap 19 timer efter, da en studerende tog kontakt til universitet. Det skete efter, at han havde fundet listerne.
- Vedkommende var bekymret og ville sikre sig, at vi fik styr på sagerne og meldte episoden til Datatilsynet, hvilket vi naturligvis gjorde, siger Mads Tolderlund.
Florerer på det mørke internet
At kun få har set cpr-numrene, køber Hanne Marie Motzfeldt dog ikke. Hun er lektor i digital forvaltning ved Københavns Universitet og har en ph.d.-grad i databeskyttelsesret.
Ifølge hende er sagen meget alvorlig, fordi den netop involverer cpr-numre.
- Cpr-numre er som en dåseåbner. Når du først har et, skal der ingenting til, før du kan begå identitetstyveri, siger hun til TV 2.
Hanne Marie Motzfeldt mener heller ikke, at det gør den store forskel, at dataene kun var tilgængelig i et døgn, fordi kriminelle opsnapper cpr-numre, det sekund de bliver lækket via algoritmer.
- Der er ingen tvivl om, at kriminelle allerede har de data. De florerer på det mørke internet og kan købes nemt.
Personer, som bliver udsat for identitetstyveri, oplever ofte at havne i et økonomisk kaos, fordi der bliver optaget lån i deres navn, hævet penge på deres konto og bestilt varer, forklarer Hanne Marie Motzfeldt
I det brev, Roskilde Universitet har sendt, opfordres de cirka 3300 studerende da også til at holde øje med eksempelvis uventede transaktioner til og fra deres bankkonti i den kommende tid.
Må ikke ske igen
Peter Lauritzen, universitetsdirektøren på RUC, oplyser til TV 2, at sagen bliver taget ekstremt alvorligt og nu skal undersøges til bunds.
- Det her må bare ikke ske. Samtidig er der tale om en menneskelig fejl, og jeg kan derfor ikke garantere, at det aldrig nogensinde sker igen, siger han.
Han er glad for, at fejlen blev opdaget så hurtigt, og at medarbejderne på RUC reagerede prompte, samt at de involverede hurtigt fik besked.
Databeskyttelsesrådgiver Mads Tolderlund understreger, at han sidder klar ved telefonen - også i weekenden - til at besvare alle eventuelle henvendelser fra bekymrede, kommende studerende.
Datatilsynet skal nu undersøge sagen og vurdere, om RUC skal indstilles til en bøde for overtrædelse af persondataloven.
