Integritetsskyddsmyndigheten, IMY, har granskat lärplattformen Vklass efter att ha tagit emot ett 60-tal anmälningar från kommunala nämnder och privata verksamheter som använder plattformen om att någon obehörig kommit över personuppgifter om lärare och elever.
Och IMY slår nu fast att Vklass inte skyddat personuppgifterna tillräckligt och ger företaget en reprimand.
Enligt Vklass är det troliga scenariot bakom att personuppgifter kommit ut att en elev – eller flera – som hade behörighet till plattformen använts sig av en sårbarhet som funnits i ett api. Genom att manipulera api-anropet mot tjänstens adressböcker har personuppgifterna sparats ner på en databas. Därefter har de inhämtade uppgifterna publicerats öppet på en sajt som nu är nedlagd.
Incidenten upptäcktes inte av Vklass utan av en användare som upptäckt sajten och det är oklart när personuppgifterna förts över och hur lång tid det pågått.
– Att bolaget inte självt upptäckt incidenten och heller inte kan utreda den i tillräcklig utsträckning gör att vi nu förelägger bolaget att vidta åtgärder som gör det möjligt att upptäcka onormala användarbeteenden i lärplattformen och att kunna spåra vad som skett i systemet, säger Katarina Bengtsson som är it- och informationssäkerhetsspecialist på IMY i en kommentar.
IMY skriver i sitt beslut att Vklass att det finns behörighetsstyrning, övervakning och loggning på delar av tjänsten, att de olika personuppgifterna är separerade, att de uppgifter som läckt inte varit känsliga personuppgifter och att Vklass agerade direkt när de fick kännedom om incidenterna. Dessutom har plattformen förbättrat säkerheten sedan dess. Sammantaget innebär det att företaget slipper sanktionsavgift.