Studenter fikk tilgang til tidligere studenters brukerkontoer

Det er noe eget med den første gangen en logger inn i nye systemer med sin nye personlige bruker. Kanskje ligger det en velkomstmelding der, et par hint om hvor en skal lete for å finne det en leter etter, kanskje også en påminnelse om en viktig frist eller to. Det er litt som å flytte inn på hybel. Rent. Pent. Sterilt. Upersonlig.

Med mindre du er en av studentene ved UiT Norges arktiske universitet som i sommer låste seg inn i Canvas for første gang, bare for å oppdage at den forrige leietakeren hadde lagt igjen alt rotet sitt.

«Hovedårsak til avviket Menneskelig svikt» står det å lese i avviksmeldingen universitetet sendte til Datatilsynet da feilen ble oppdaget. 

NTNU

Publiserte oppgaver som skulle være hemmelige: — Svært beklagelig

Bergensstudenter til besvær

Historien er som følger:

Noen håndfuller med studenter fra Universitetet i Bergen (UiB) lot seg lokke nordover til UiT. Med seg på ferden hadde de sine gamle brukernavn.

Disse brukernavnene hadde ved en feil blitt registrert i Sikt — Kunnskapssektorens tjenesteleverandør sin nasjonale database som studentenes nasjonale brukernavn, og ble med det automatisk studentenes nye brukernavn for UiTs tjenester. 

«Noen av brukerne ved UiB hadde lokale brukernavn som tilfeldigvis hadde samme form som UiTs lokale brukernavn» forklarer UiT i avviksmeldingen.

Og tilfeldighetene ville mer enn at brukernavnene bare skulle ha samme form. 12 av studentene hadde tilfeldigvis brukernavn med seg fra Bergen som var identiske med brukernavn som tidligere var brukt av elleve studenter og en stipendiat, brukernavn som tilhørte deaktiverte kontoer.

Og med det var avviket et faktum, for da studentene skulle aktivere sine nye UiT-kontoer, endte de i stedet med å reaktivere gamle kontoer.

sikkerhet

Ruster opp for å møte truslene i cybersikkerhet

Fikk tilgang til personlige meldinger

Feilen ble oppdaget i slutten av juli, en drøy måned etter at den første av høstens nye studenter aktiverte sin konto, da universitetet ikke fikk til å importere enkelte brukere fra Felles studentsystem og inn i Canvas. 

Et par dager senere finner Sikt ut at feilen ligger i den nasjonale løsningen som de drifter, og rydder opp i den nasjonale basen.

«På dette tidspunktet var det ikke ansett som en mulighet at de kunne få tilgang til andres data» skriver Universitetet i Tromsø i avviksmeldingen.

Dette skyldtes dels at det som lå i Microsoft-kontoene tilknyttet brukeren var slettet, dels at det ble antatt at studentene ikke ville få til å logge seg inn i Canvas på grunn av importproblematikken.

«Antagelsen om at det ikke ville være fare for tilgang til andres data i Canvas viste seg å være feil» skriver UiT videre.

«Dette ble oppdaget da en student meldte fra den 7.8.23, om at personen så et annet navn da hun logget på Canvas.»

datatryggleik

Opplever 1600 dataangrep i veka: — Ein indikator på stor verdi

— Oppleves invaderende

Totalt var det tre av studentene som faktisk logget inn på Canvas før feilen ble oppdaget, og dermed fikk tilgang til den forrige leietakerens eiendeler, slik som innleveringer, meldinger sendt mellom studenter og ansatte og så videre.

Og selv om det ifølge UiT ikke ble lastet ned noen filer fra Canvas, er det én av studentene som har vært litt mer nysgjerrig på hva forrige leietaker drev med enn resten.

«To av de tre har vært inne i Canvas i kun få minutter, og vi legger derfor til grunn at det er svært begrenset hva de kan ha sett av informasjon. Den tredje personen har imidlertid vært inne flere ganger og over lengre tid.» 

Universitetet presiserer at det er begrenset hvilke opplysninger Canvas er godkjent for å håndtere, men legger til:

«Imidlertid vil eventuelle meldinger, utover generisk studieinformasjon fra UiT til studentene (slik som frister, flytting av undervisningstider etc.) være personlige, og det oppleves invaderende at uvedkommende har sett disse.»

Dagen etter at studenten meldte om feil navn i Canvas, den 8. august, ble de berørte Canvas-kontoene stengt ned. Neste dag ble resten av tilgangene for studentene som var tildelt tidligere brukte brukernavn stengt ned, og studentene fikk nye brukernavn.

De tre tidligere studentene hvis Canvas-kontoer ble logget inn på av nye studenter ble varslet om hendelsen per e-post, ifølge avviksmeldingen.

Har gjort tiltak

I avviksmeldingen skriver UiT at Sikt har opplyst om at den nasjonale basen er korrigert for å forhindre at tilsvarende feil kan oppstå på nytt.

Det bekrefter også Sikt selv til Khrono. Sikt opplyser at feilen har oppstått i overgang til nytt system for identitets- og tilgangsstyring for universitets- og høgskolesektoren, og hvordan man håndterer id-er i overgangen mellom nye og gamle systemer. 

De legger til at det er gjennomført flere tiltak som vil hindre at noe lignende skal skje igjen, selv om man aldri kan gi absolutte garantier for at feil ikke kan oppstå.

Sikt kjenner ikke til at feilen har rammet flere brukere enn de som er omtalt i denne saken.