Ett Microsoft Power BI-dataintrång vid Avans University of Applied Sciences exponerade känsliga personuppgifter för obehöriga användare i nästan ett år innan personal upptäckte problemet. Universitetet har sedan dess åtgärdat sårbarheten, informerat de berörda personerna och anmält händelsen till den nederländska dataskyddsmyndigheten.
Felkonfiguration exponerade personuppgifter i nästan ett år
Incidenten rörde AMIGO, ett internt verksamhetssystem som bygger på Microsoft Power BI. Systemet lagrar bland annat uppgifter om studentregistreringar och avhopp.
Enligt Avans ledde en förändring i Microsoft-miljön den 30 juni 2025 oavsiktligt till att obehöriga användare kunde komma åt uppgifter som gick att koppla till enskilda personer.
Problemet förblev oupptäckt fram till 8 juni 2026, då en anställd vid universitetet upptäckte felet. Avans säkrade omedelbart systemet och rapporterade dataintrånget till den ansvariga nederländska dataskyddsmyndigheten.
Universitetet avslöjar inte vilka uppgifter som exponerades
Universitetet bekräftar att de exponerade uppgifterna var känsliga, men vill inte avslöja exakt vilken information som omfattades.
Avans uppger att beslutet fattades för att skydda de drabbades integritet. I stället kontaktade universitetet samtliga berörda den 30 juni 2026 och informerade dem direkt om vilka personuppgifter som hade exponerats.
Utredning ska förklara den sena upptäckten
Universitetet har inlett en intern utredning för att ta reda på varför exponeringen kunde pågå i nästan ett år utan att upptäckas.
Utredarna ska granska varför de befintliga övervakningsrutinerna inte identifierade den obehöriga åtkomsten tidigare. De ska också ta fram åtgärder som kan stärka kontrollen över universitetets system för datahantering.
Dessutom ska utredningen bedöma vilka ytterligare säkerhetskontroller som kan minska risken för liknande incidenter i framtiden.
Inga tecken på missbruk av uppgifterna
Hittills har Avans inte hittat några bevis för att någon har missbrukat de exponerade personuppgifterna.
Samtidigt betonar universitetet att man inte helt kan utesluta den möjligheten.
Universitetet framhåller också att händelsen inte orsakades av en cyberattack och att informationen aldrig blev offentligt tillgänglig.
Avans tar ansvar för informationssäkerheten
Även om Microsoft utvecklar och underhåller Power BI betonar Avans att ansvaret för att skydda informationen i plattformen ligger hos universitetet.
Universitetet erkänner sitt ansvar för att skydda personuppgifter och uppger att man tar incidenten på största allvar samtidigt som utredningen fortsätter.
Slutsats
Microsoft Power BI-dataintrånget vid Avans University visar hur en till synes liten konfigurationsändring i en molnplattform kan exponera känsliga personuppgifter under lång tid utan att någon upptäcker det. Även om utredningen hittills inte har funnit några tecken på missbruk understryker händelsen vikten av kontinuerlig övervakning, regelbundna säkerhetsgranskningar och återkommande kontroller av behörigheter för att upptäcka felkonfigurationer innan de leder till långvariga integritetsrisker.


0 svar till ”Avans University rapporterar ett ett år långt dataintrång i Microsoft Power BI”