Kun skolens ansatte skal ha adgang til den lukkede Mobilskole-appen, som kjører på It's Learning-plattformen. Likevel kom en elev rett inn via et Google-søk. (Skjermdump fra mobilskole.no) (Foto: fotofikling digi.no)

Mobilskole

Elev kom seg inn på lukket tjeneste. Sendte SMS som avlyste skoledagen

Først nektet IT-selskapet for sikkerhetshull, men nå kommer innrømmelsen.

En 18-årig elev ved Slåtthaug videregående skole forteller til Bergensavisen (BA) at han fulgte en lenke han fant i søkemotoren Google.

Det førte ham rett inn på Mobilskole, en lukket meldingstjeneste integrert i den webbaserte læringsplattformen It’s Learning.

Mobilskole behandler konfidensielle opplysninger som elevers sykemeldinger. Kun skolens ansatte skal ha adgang.

– Det var nesten litt for enkelt, sier 18-åringen til avisen.

Avlyste skoledagen

Fra meldingstjenesten valgte eleven å sende en spøk på SMS. Den falske meldingen gikk ut ved 5-tiden natt til torsdag, til samtlige 470 elever og med skolen som avsender:

«Det blir fri i dag, torsdag 22. oktober 2015 på grunn av innbrudd i natt. Vi beklager dette. Dere vil få en oppdatering senere i dag.»

Meldingen skapte naturlig nok forvirring ved skolen, der rektor ifølge et tidligere oppslag i BA først vurderte å gå til politianmeldelse. Eleven sier imidlertid at han slipper konsekvenser fordi utsendelsen til alle skjedde ved en feil, og fordi han meldte seg.

– Ikke sikkerhetshull

Mobilskole og It’s Learning har begge avvist at det er sikkerhetshull i deres respektive løsninger.

– Mobilskole er en passordbeskyttet tjeneste. Vi har jevnlige sikkerhetsrevisjoner. Det er ingen alvorlige sikkerhetsbrister hos oss. Vi har heller ikke oppdaget noe sikkerhetshull slik avisen referer til, sa daglig leder Håkon Lindqvist Kalbakk i Mobilskole til digi.no i går.

– Hvordan er det mulig å komme seg inn på den lukkende, konfidensielle meldingstjenesten ved å følge en lenke fra søkemotoren Google?

– Jeg har ingen ytterligere kommentarer.

Endrer forklaring

Etter flere utvekslinger på e-post endrer Kalbakk plutselig forklaring onsdag morgen.

Ikke bare innrømmer han nå at det er oppdaget et sikkerhetshull i løsningen, stikk i strid med det som fremgår av de godkjente sitatene hans lenger opp i saken, men også at dette hullet ble tettet allerede i helgen.

– Mobilskole har etter episoden ved Slåtthaug videregående skole, der en elev sendte ut SMS til medelever, oppdaget et sikkerhetshull i tjenesten. En ny versjon av Mobilskole ble lagt ut i helgen hvor dette sikkerhetshullet er tettet, skriver Kalbakk i en e-post til digi.no.

Han skriver videre:

– Mobilskole understreker at på grunn av sikkerhetshullet var det mulig for en elev å få tilgang til Mobilskole og sende ut meldinger til medelever. Men det var ikke mulig å se meldinger som var sendt eller mottatt skolen fra andre elever.

– Selskapet påpeker at feilen lå hos Mobilskole, og hadde ingenting med It's Learning å gjøre. Mobilskole har fått god hjelp av sikkerhetseksperter hos It's Learning til å utbedre og teste tjenesten.

Skjedd før

Mobilskole oppgir å ha mer enn 500.000 brukere i Norge, som samlet sender over 20 millioner meldinger hvert år. Selskapet har levert såkalt digital meldingsbok til over 1000 skoler og barnehager siden oppstarten i 2009.

Det er ikke første gang meldingstjenesten har opplevd sikkerhetsbrudd. Det skjedde også i 2013 da en feil førte til at sensitive opplysninger om elever lå åpent tilgjengelig for alle elevene ved Vennesla videregående skole.

Til toppen