Et Microsoft Power BI-databrud på Avans University of Applied Sciences eksponerede følsomme personoplysninger for uautoriserede brugere i næsten et år, før medarbejdere opdagede problemet. Universitetet har siden rettet sårbarheden, informeret de berørte personer og anmeldt hændelsen til den hollandske databeskyttelsesmyndighed.

Fejlkonfiguration eksponerede personoplysninger i næsten et år

Hændelsen omfattede AMIGO, et internt administrationssystem bygget på Microsoft Power BI. Systemet indeholder blandt andet oplysninger om studietilmeldinger og frafald.

Ifølge Avans medførte en ændring i Microsoft-miljøet den 30. juni 2025, at uautoriserede brugere utilsigtet kunne få adgang til oplysninger, som kunne knyttes til enkeltpersoner.

Problemet forblev uopdaget indtil 8. juni 2026, hvor en medarbejder på universitetet opdagede fejlen. Avans sikrede straks systemet og anmeldte databruddet til den hollandske databeskyttelsesmyndighed.

Universitetet vil ikke oplyse, hvilke data der blev eksponeret

Universitetet bekræfter, at de eksponerede oplysninger var følsomme, men ønsker ikke at oplyse præcist, hvilke data der var omfattet.

Avans forklarer, at beslutningen skal beskytte de berørte personers privatliv. I stedet kontaktede universitetet alle berørte den 30. juni 2026 og informerede dem direkte om, hvilke personoplysninger der var blevet eksponeret.

Undersøgelse skal forklare den sene opdagelse

Universitetet har iværksat en intern undersøgelse for at finde ud af, hvorfor eksponeringen kunne fortsætte i næsten et år uden at blive opdaget.

Efterforskerne skal undersøge, hvorfor de eksisterende overvågningsrutiner ikke opdagede den uautoriserede adgang tidligere. De skal også identificere forbedringer, som kan styrke kontrollen med universitetets systemer til datahåndtering.

Derudover skal undersøgelsen vurdere, hvilke ekstra sikkerhedsforanstaltninger der kan mindske risikoen for lignende hændelser fremover.

Ingen tegn på misbrug af oplysningerne

Indtil videre har Avans ikke fundet beviser for, at nogen har misbrugt de eksponerede personoplysninger.

Universitetet understreger dog, at det ikke kan udelukke denne mulighed fuldstændigt.

Samtidig fremhæver Avans, at hændelsen ikke skyldtes et cyberangreb, og at oplysningerne aldrig blev gjort offentligt tilgængelige.

Avans tager ansvar for datasikkerheden

Selvom Microsoft udvikler og vedligeholder Power BI, understreger Avans, at ansvaret for at beskytte de data, der lagres i platformen, ligger hos universitetet.

Universitetet erkender sit ansvar for at beskytte personoplysninger og oplyser, at det tager hændelsen meget alvorligt, mens undersøgelsen fortsætter.

Konklusion

Microsoft Power BI-databruddet på Avans University viser, hvordan en tilsyneladende mindre konfigurationsændring i en cloudplatform kan eksponere følsomme personoplysninger i lang tid uden at blive opdaget. Selvom undersøgelsen endnu ikke har fundet tegn på misbrug, understreger hændelsen betydningen af løbende overvågning, regelmæssige sikkerhedsgennemgange og hyppig kontrol af adgangsrettigheder for at opdage fejlkonfigurationer, før de udvikler sig til langvarige risici for privatlivet.


0 svar til “Avans University rapporterer et årslangt databrud i Microsoft Power BI”