Københavns Universitet (KU) er havnet midt i et omfattende internationalt hackerangreb. Tusindvis af studerende og ansatte risikerer nu, at deres personlige oplysninger er havnet i de forkerte hænder. Selve angrebet er ikke rettet direkte mod universitetets egne servere. Det er i stedet sket gennem IT-leverandøren Instructure, der står bag læringsplatformen Canvas – eller Absalon, som den hedder på KU.
Sagen vækker stor bekymring, for Absalon er det digitale hjerte i hverdagen på universitetet. Her ligger alt fra kursustilmeldinger og interne beskeder til navne og e-mailadresser. Og nu frygter man altså, at de data er blevet stjålet.
På Københavns Universitet lægger man ikke skjul på sagens alvor. Universitetet har været hurtigt ude med information på de officielle kanaler, hvor de advarer om konsekvenserne:
»Oplysninger om nuværende og tidligere studerende og medarbejdere kan være lækket eller blevet stjålet,« lyder den kontante melding på universitetets hjemmeside.
En global trussel med millioner af ofre
Selvom de studerende på KU mærker konsekvenserne lokalt, rækker angrebet langt ud over Danmarks grænser. Instructure leverer nemlig IT-løsninger til tusindvis af uddannelsessteder verden over, og de foreløbige tal er svimlende. Man frygter, at op mod 275 millioner brugere på tværs af kloden kan være ramt af sikkerhedsbruddet hos leverandøren.
For de studerende på KU blev alvoren tydelig torsdag aften. Da de forsøgte at logge ind på Absalon for at læse op eller skrive til deres medstuderende, blev de ikke mødt af den sædvanlige login-skærm. I stedet tonede en direkte besked fra de kriminelle bagmænd frem på skærmen.
ShinyHunters kræver forhandling
Bag angrebet står den berygtede hackergruppe ShinyHunters. I it-sikkerhedskredse er de kendt for at være både aggressive og professionelle. I beskeden til de studerende og universitetet gør de det klart, at det er dem, der sidder på de stjålne data. Hvis universitetet vil undgå, at de interne oplysninger bliver lagt frit frem på nettet, skal de kontakte gruppen gennem et sikkerhedsfirma for at forhandle en aftale på plads.
Hackergruppen har sat en hård deadline til den 12. maj. Er der ikke en aftale på plads inden da, truer de med at lække de følsomme data. Og ShinyHunters er ikke hvem som helst. Gruppen har tidligere stået bag massive angreb mod giganter som Google, Ticketmaster og teleselskabet AT&T. Tilbage i 2021 hævdede gruppen at have stjålet data fra 73 millioner AT&T-kunder, som de bagefter satte til salg.
Eksperter beskriver ShinyHunters som et løst netværk af teknisk dygtige unge voksne, der primært holder til i Storbritannien og USA. Deres speciale er ofte at finde huller hos underleverandører – præcis som det er sket i sagen med Instructure og Københavns Universitet.
Universitetet afventer overblik
På Københavns Universitet arbejder it-afdelingen og ledelsen lige nu på højtryk. De forsøger at få overblik over, præcis hvor mange der er berørt, og hvilke data der er tale om. Universitetet har allerede anmeldt sikkerhedsbruddet til Datatilsynet. Det skete den 5. maj, kort efter at de første tegn på problemer dukkede op.
Ledelsen understreger, at de »tager situationen meget alvorligt« og følger udviklingen tæt sammen med eksterne eksperter og Instructure. Indtil videre bliver studerende og ansatte opfordret til at være ekstra opmærksomme på mistænkelige mails eller henvendelser. De kan nemlig være et resultat af de lækkede oplysninger.
Sagen rejser endnu en gang debatten om sikkerheden, når man overlader kritiske it-systemer til store internationale platforme. Her kan et enkelt hul i sikkerheden nemlig ramme millioner af brugere verden over.