Sikkerheden på Blaabog.com har været hullet som en si. Hvem som helst har ved hjælp af klassisk url-hacking kunnet åbne op for en verden af druk, testsnyd og scoringer.
Det skriver Version2.dk.
Cirka 250.000 studerende på landets ungdomsuddannelser har de seneste år fået lavet deres ”blå bog” hos firmaet C L Seifert eller A J Eriksen gennem online-løsningen blaabog.com. Her kunne eleverne uploade tekst, informationer og billeder. Oplysningerne trykkes som en rigtig bog, men eleverne får altså også en bog på internettet.
Sikkerhedsbristen bestod i, løsningen manglede basal validering. Dermed kunne hvem som helst udskifte et id-nummer i url'en med et andet tilfældigt nummer. Tricket virkede også, selv om man ikke var logget ind. Det opdagede en HTX-elev, som ønsker at være anonym.
"Så skrev jeg et lille program i Visual studio og C# - det tog kun fem minutter – og så havde jeg adgang til 250.000 elevers blå bøger fra de sidste 8-9 år, hvis det var det, jeg ville," fortæller eleven.
Eleven nåede at hente 2.000 elevers data, før han stoppede scriptet. De indeholdt bunker af historier om scoringer, pinlige episoder og andre personfølsomme informationer. Navn, adresse, emailadresse og telefonnummer fremgik også.
HTX-eleven skrev til firmaet bag, A J Eriksen for at gøre dem opmærksom på fejlen, men modtog ikke svar. Over for Version2 siger administrerende direktør Jens Eriksen, at der har været tale om en midlertidig fejl, der er blevet lukket.
Datatilsynets kontorchef Lena Andersen gør over for Version2.dk opmærksom på, at der tilsyneladende var tale om oplysninger, der var beregnet til offentliggørelse, og at det derfor ikke er fortrolige informationer.
