Person som åker pulka och landar på ansiktet i snön

Skolplattformen i Stockholm stad

Stockholm stads IT-system fortsätter att underprestera. Nu senast att över hundratusen enkelt kunnat hämta barns personuppgifter och betyg.

Stockholm har minst sagt haft lite motgräs det senaste när det gäller IT-lösningar för sin utbildningsverksamhet. Man har haft svårt att skydda de med hemlig identitet, installationen av Microsoft Teams tillät vuxna att prata med barn de inte kände samt att skolplattformen varken fungerar eller är i närheten av en rimlig budget. Den har snart kostat en miljard, det vill säga mer än en säsong av Game of Thrones och som ett års drift av internetjätten Wikipedia.

Igår briserade ännu en bomb i ett av de dyraste skitsystemen i Sveriges historia. Stockholms stads skolplattform, igen. En webbutvecklande pappa tänkte titta lite på det utskällda systemet. En person likt mig som kan lite allt möjligt om IT och blir nyfiken på saker i sin vardag som inte funkar så bra som de borde.

Läsa den per definition öppna HTML-koden

Hans fynd började med att konstatera att det är långsamt och att utvecklarna skrivit uppgivna kommentarer i (den fullt öppna) koden, att de inte förstår sig på den kod de hanterar. Sedan ändrar han i några adresser och börjar se saker han inte ska ha åtkomst till. Bland annat elevers betyg, personnummer och även lärares personuppgifter.

Stockholms stad svarar

“Åtkomsten till personuppgifter har endast varit möjlig genom att i inloggat läge aktivt göra ändringar i programmeringskoden.”
– Johanna Engman, it-direktör i Stockholms stad

Märk väl att denna pappa inte ändrat eller ens haft tillgång till någon programmeringskod. Det är ett uppseendeväckande okunnigt uttalande från någon som jobbar med IT-frågor. Nej, en IT-direktör kanske inte måste vara expert på allt inom IT, men detta är faktiskt inte en detaljfråga.

Och att det var i ett inloggat läge är inte heller det någon ursäkt. Stockholm har tydligen 140 000 elever, och även deras föräldrar och lärare har åtkomst till inloggning. I Stockholm finns tusentals yrkesverksamma som kan de enkla saker det handlar om här. Och nästan varenda högstadieelev med minsta lilla teknikintresse klarar också av att utforska baksidan av ett webbsystem på detta sätt.

Bli en “hacker” - fyra enkla steg vem som helst klarar av

Verktyget de behöver finns redan i praktiskt taget alla webbläsare.

  1. Alla som använder webben är införstådda i konceptet med URL:ar (adresser på webben).
  2. Genom att högerklicka på en webbsida kan man se HTML-koden.
  3. I den koden finns typ alltid andra adresser. Klicka på dem så får du se ett halvkryptiskt språk.
  4. Ändra sedan i den adressen som nu står i webbläsarens adressfält så kan du råka se saker det inte var tänkt.

Det är inte svårare än så.

Tycker Internetstiftelsens säkerhetschef säger det bra till Expressen:

“Vi pratar väldigt mycket om den offentliga förvaltningens e-tjänster, och oftast gör vi det i ett rosa skimmer av att allt kommer att bli effektivt och bra. I själva verket dyker det gång efter annan upp sårbarheter som är av ganska allvarlig karaktär.”
– Anne-Marie Eklund Löwinder

Mer om skolplattformen

En som tidigare skrivit om skolplattformen är Peter Hedenskog:

Tieto är en av företagen bakom skolplattformen, de har även tidigare varit inne i Stockholms skolwebbar och råkat fumla till det (inklusive väldigt många andra) under många dagars tid:

"Stockholm stads skolwebb, en tjänst som används för frånvarorapportering, ligger nere under avbrottet."
– Tietohaveriet - dag för dag

Medier skriver om veckans nyhet om skolplattformen