Mandag kveld oppdaget Bergen kommune at uvedkommende har fått tilgang til personopplysninger om opptil 35 000 lærere og elever. Det er brukerportalen «eFeide» som er rammet. Det skriver Bergens Tidende.
Kommunen skriver at uvedkommende har kommet seg inn i systemet som bare et fåtall med administratorrettigheter skal ha tilgang til.
Oppdaget 23:45 mandag
Den uautoriserte tilgangen ble oppdaget klokken 23:45 mandag kveld.
– Vi er usikre på intensjonen bak dette, og hva man eventuelt kan risikere at informasjonen blir brukt til, sier kommunaldirektør for barnehage, skole og idrett Trine Samuelsberg til NRK.
I portalen lagres fødselsnummer, navn, adresse, kontaktinformasjon og førstegangspassord til elever og ansatte.
Ikke passord i klartekst
Det ble først spekulert i at passordene ble lagret i klartekst på serverne til kommunen, men dette har Bergen kommune nå avkreftet.
– Dersom noen har valgt å ikke følge prosedyren ved å velge et nytt passord første gangen de logger på, ligger passordet tilgjengelig. Passord som brukerne selv har valgt, er krypterte og ikke synlige, sier Samuelsberg til NRK.
Til statskanalen forteller kommunaldirektøren at de er i gang med å kartlegge omfanget av konsekvensene.
Efeide
Kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet sier til VG at saken foreløpig ikke er registrert i arkivet deres.
– Som kommunen også skriver selv i pressemeldingen, er det nok snakk om et skikkelig datainnbrudd her. Vi vil vurdere meldingen nøye og se hva som har skjedd. Vi vil vurdere redegjørelsen for hendelsen, hvor dataene har havnet, og på hvilken måte, sier hun til VG.
Efeide er et identitetshåndteringssystem for bedrifter, offentlige institusjoner og skoler. Systemet er utviklet av Identum.
To-faktor-autentisering
De skal selv ha oppdaget innbruddet, og rapporter det inn til Bergen kommune. Selskapet har nå aktivert to-faktor-autentisering for alle brukere.
Daglig leder Eric Lithun i Identum sier at selskapet ikke har blitt hacket. Ifølge ham har noen fått uautorisert tilgang til systemet deres.
Hva han legger i dette, utdyper han ikke videre.
Anmelder
Det ikke kjent hvem som står bak innbruddet, og kommunen har ingen mistenkte i saken, skriver VG.
Saken vil bli anmeldt.
– Denne saken er alvorlig av flere grunner, det er et stort antall personer som kan være rammet, og mange av dem er barn.
– Vi registrerer også at leverandøren tar hendelsen alvorlig, og har bidratt positivt til at tiltakene kan settes i verk så snart som råd, sier rådgiver Magnus Kroken i Avdeling for personvern og informasjonstrygghet i kommunen til NRK.
