En 18-årig elev ved Slåtthaug videregående skole forteller til Bergensavisen (BA) at han fulgte en lenke han fant i søkemotoren Google.
Det førte ham rett inn på Mobilskole, en lukket meldingstjeneste integrert i den webbaserte læringsplattformen It’s Learning.
Mobilskole behandler konfidensielle opplysninger som elevers sykemeldinger. Kun skolens ansatte skal ha adgang.
– Det var nesten litt for enkelt, sier 18-åringen til avisen.
Avlyste skoledagen
Fra meldingstjenesten valgte eleven å sende en spøk på SMS. Den falske meldingen gikk ut ved 5-tiden natt til torsdag, til samtlige 470 elever og med skolen som avsender:
«Det blir fri i dag, torsdag 22. oktober 2015 på grunn av innbrudd i natt. Vi beklager dette. Dere vil få en oppdatering senere i dag.»
Meldingen skapte naturlig nok forvirring ved skolen, der rektor ifølge et tidligere oppslag i BA først vurderte å gå til politianmeldelse. Eleven sier imidlertid at han slipper konsekvenser fordi utsendelsen til alle skjedde ved en feil, og fordi han meldte seg.
– Ikke sikkerhetshull
Mobilskole og It’s Learning har begge avvist at det er sikkerhetshull i deres respektive løsninger.
– Mobilskole er en passordbeskyttet tjeneste. Vi har jevnlige sikkerhetsrevisjoner. Det er ingen alvorlige sikkerhetsbrister hos oss. Vi har heller ikke oppdaget noe sikkerhetshull slik avisen referer til, sa daglig leder Håkon Lindqvist Kalbakk i Mobilskole til digi.no i går.
– Hvordan er det mulig å komme seg inn på den lukkende, konfidensielle meldingstjenesten ved å følge en lenke fra søkemotoren Google?
– Jeg har ingen ytterligere kommentarer.
Endrer forklaring
Etter flere utvekslinger på e-post endrer Kalbakk plutselig forklaring onsdag morgen.
Ikke bare innrømmer han nå at det er oppdaget et sikkerhetshull i løsningen, stikk i strid med det som fremgår av de godkjente sitatene hans lenger opp i saken, men også at dette hullet ble tettet allerede i helgen.
– Mobilskole har etter episoden ved Slåtthaug videregående skole, der en elev sendte ut SMS til medelever, oppdaget et sikkerhetshull i tjenesten. En ny versjon av Mobilskole ble lagt ut i helgen hvor dette sikkerhetshullet er tettet, skriver Kalbakk i en e-post til digi.no.
Han skriver videre:
– Mobilskole understreker at på grunn av sikkerhetshullet var det mulig for en elev å få tilgang til Mobilskole og sende ut meldinger til medelever. Men det var ikke mulig å se meldinger som var sendt eller mottatt skolen fra andre elever.
– Selskapet påpeker at feilen lå hos Mobilskole, og hadde ingenting med It's Learning å gjøre. Mobilskole har fått god hjelp av sikkerhetseksperter hos It's Learning til å utbedre og teste tjenesten.
Skjedd før
Mobilskole oppgir å ha mer enn 500.000 brukere i Norge, som samlet sender over 20 millioner meldinger hvert år. Selskapet har levert såkalt digital meldingsbok til over 1000 skoler og barnehager siden oppstarten i 2009.
Det er ikke første gang meldingstjenesten har opplevd sikkerhetsbrudd. Det skjedde også i 2013 da en feil førte til at sensitive opplysninger om elever lå åpent tilgjengelig for alle elevene ved Vennesla videregående skole.
