Lundakarnevalens teknikproblem fortsätter. Den 12 mars upptäcktes en sårbarhet i ett av karnevalens IT-system som har inneburit att studenters personnummer, mejladresser och namn har riskerat att läcka ut – ett systemfel som har funnits sedan januari.
Under fredagen kontaktades alla som haft en mejladress registrerad hos Lundakarnevalen med ett meddelande om att obehöriga har kunnat få ut deras personuppgifter. Detta på grund av en sårbarhet i ett av karnevalens IT-system. Alla som registrerat en mejladress hos Lundakarnevalen kan ha påverkats.
– Natten till torsdagen 12 mars upptäckte våra IT-ansvariga en sårbarhet i vårt medlemssystem. De åtgärdade detta direkt när de upptäckte det, berättar Tora Paulsson, kommunikationschef på Lundakarnevalen.
– Det berör samtliga som har registrerat sig i appen, vilket är 9487 personer, fortsätter hon.
Sårbarheten har funnits i nästan två månader, sedan den 17 januari, och beror på ett fel i systemet som man missat vid tidigare kodgranskning.
– Vi fortsätter jobba på det och har åtgärdat detta, och ser till att jobba så det inte händer igen, säger Tora Paulsson.
Den med vetskap om en registrerad mejladress har kunnat få ut personnummer, namn, mailadress, telefon och tröjstorlek kopplade till mejladressen. Uppgifterna har inte varit synliga i det vanliga användargränssnittet, alltså det du ser som användare. Däremot har de legat tillgängliga, så att vem som helst med grundläggande datorkunskaper kan komma åt dem. Inga lösenord har dock varit komprimerade enligt Lundakarnevalen.
Erik, som egentligen heter något annat, har registrerat sin mejladress hos Lundakarnevalen, och berättar att det känns orättvist att man behövt ange vissa uppgifter för att bli karnevalist, men som sedan inte hanteras försiktigt.
– Man tvingas lämna in vissa uppgifter för att engagera sig, som sen inte förvaras på ett säkert sätt, säger Erik.
– Jag tyckte att det var överraskande att det ens var möjligt. Jag tycker att det finns en viss tilltro till Lundakarnevalen som har blivit trampad på.
Då det finns risk att personnummer läckt ut rekommenderar karnevalen att alla med en registrerad mailadress håller ögonen öppna för lån eller oväntade kreditupplysningar i deras namn. Enligt Lundakarnevalen finns det inget som tyder på att IT-sårbarheten utnyttjats och att obehöriga fått tag i personuppgifter – men de kan inte lova att ingen läcka har skett.
Aho Nyman
– Vi kan se i våra system att det inte är någon som har nått informationen. Men vi kan inte säkerställa det överhuvudtaget, säger Tora Paulsson.
– Vi är hyfsat säkra, men vi är försiktiga med att garantera att ingen nått den.
Erik tycker inte att det är tillräckligt. Han ifrågasätter även hur karnevalen kommunicerat vad som hänt och att man valt att inte publicera om händelsen på Instagram eller Facebook.
– Det kom i ett mejl som hamnat i skräpposten. De informerade inte om det på ett ordentligt sätt.
Karnevalen har själva anmält händelsen till Integritetsskyddsmyndigheten (IMY), som bland annat granskar tillämpningen av dataskyddslagstiftning. Tora Paulsson berättar att de har följt rekommendationerna på IMY:s webbplats. Hon menar att huruvida sårbarheten har inneburit ett brott mot dataskyddslagstiftning är upp till IMY att bedöma. Hon säger även att Lundakarnevalen kommer att följa IMY:s instruktioner när de kommer med ett besked.
Lundakarnevalen har tidigare haft IT-problem i samband med biljettsläppet till Karnebalen, något som Lundagård rapporterat om. Karnevalen kan för tillfället inte garantera säkerheten i övriga IT-system.
– Vi har undersökt våra system noga och har inte hittat några andra brister för tillfället. Men vi kommer att fortsätta kolla väldigt, väldigt noga på detta den kommande veckan och framöver. I fortsättningen kommer vi granska våra system extra, extra noga, berättar Tora Paulsson.
Hur ställer ni er till att Lundakarnevalen har riskerat att läcka 9487 studenters personuppgifter?
– Vi ser såklart jätteallvarligt på detta, det är inget vi ville eller trodde skulle hända. Vi fortsätter utreda och ser över alla våra rutiner, både över IT-systemen men även hur vi hanterar våra personuppgifter framöver, både inom IT-gruppen och kommittén, säger Tora Paulsson.
Hur tänker du kring att karnevalister framöver kanske inte kommer känna sig bekväma med att lämna in sina personuppgifter till er?
– Det är jättenaturligt att känna en oro över detta. Är man det minsta orolig så går det såklart jättebra att prata med någon av oss i kommittén eller IT-sektionen. Vi vill såklart att alla ska känna sig säkra, men har full förståelse för att en sån här incident kan göra att man känner sig osäker, säger Tora Paulsson.
Erik säger att han hade lämnat in sina uppgifter till Lundakarnevalen igen, men främst för att det inte känns som att man har ett val.
– Det blir ett svårt dilemma: Missa karnevalen eller riskera att någon ska använda mina uppgifter.
– Det är inte schysst. Det får mig att fundera. Det känns som att de inte har koll, säger Erik.
Tora Paulsson berättar att de kommer att se över alla rutiner gällande personuppgifter och fortsätta vara i kontakt med IT-ansvariga. Hon understryker tilliten till IT-sektionen.
– Vi har alla väldigt stort förtroende för IT-gruppen och vi är väldigt stolta över deras insatser och att de löste detta så snabbt.
