AALBORG:Den 3. august lukkede Aalborg Universitet ned for alle deres systemer. Universitetet var udsat for et cyberangreb, hvor kriminelle havde hacket sig ind i institutionens systemer.

I en pressemeddelelse fra Aalborg Universitet den 12 august skrev universitetet, at der på daværende tidspunkt ikke var indikationer på, at personfølsomme data var blevet lækket. Senere kom det frem, at CPR-numre og lønoplysninger på 28 ansatte har været tilgængelige for de ulovligt indtrængende.

Men nu viser en aktindsigt i dokumenter fra Aalborg Universitet til Datatilsynet, at de kriminelle har haft adgang til helbredsoplysninger og fagforeningsoplysninger for fem ansatte på universitetet.

Hvad viser aktindsigten? Nichemediet Version2.dk, som primært beskæftiger sig med IT, har søgt aktindsigt i dokumenter, som Aalborg Universitet har sendt til Datatilsynet den 31. august. NORDJYSKE er i besiddelse af dokumenterne. Aalborg Universitet skrev følgende: - 5 systemadministratorers brugerkonti og indholdet i disses tilknyttede mailkonti. Der er tale om mailkonti, som tilhører medarbejdere fra IT-afdelingen ved Aalborg Universitet. De IT-kriminelle har ved adgangen til de pågældende brugeres mailkonti haft adgang til enkelte af brugeres følsomme og fortrolige personoplysninger i form af helbredsoplysninger, fagforeningsmæssige oplysninger og CPR-numre på brugerne selv, der har været tilgængelige i deres mailkonti. - Interviews med de pågældende har afdækket, at det ikke kan udelukkes, at der har været enkelte følsomme oplysninger på andre end de pågældende systemadministratorer som led i arbejdsrelateret korrespondance, melder Aalborg Universitet til Datatilsynet. VIS MERE

Det drejer sig om fem medarbejdere fra IT-afdelingen på Aalborg Universitet, hvis mailkonti er blevet hacket. I indbakken har ansatte imellem skrevet om helbredsoplysninger. Oplysninger de kriminelle nu har adgang til.

Selv om det kan lyde alvorligt, mener Aalborg Universitet ikke, at det er noget videre alvorligt, da det er oplysninger, som medarbejderne har skrevet i en mailkorrespondance.

- Det svarer ikke til at hacke en profil på sundhed.dk, hvor de kan se, hvad de har fejlet, hvilken medicin de bruger eller sådan noget. Det er en helt almindelig besked, som "jeg har influenza, jeg bliver hjemme", siger direktør for Aalborg Universitet, Antonino Castrone til NORDJYSKE.

Regler gør, at influenzatilfælde og lignende bliver betegnet som helbredsoplysninger, når universitetet indberetter til Datatilsynet. Undersøgelser viser, at der ikke er indikationer på, at hackerne har kopieret og gemt disse oplysninger.

Målet var afpresning

De interne undersøgelser blev igangsat i starten af august. Disse viser, at hensigten ikke har været at få adgang til personfølsomme data.

- Der er tale om hacking udført af IT-kriminelle, formentlig med det mål at gennemføre et angreb med henblik på afpresning. Konsulentfirmaet CSIS Security Group vurderer, at motivet ikke har været at eksportere personoplysninger, står der i mailen fra Aalborg Universet til Datatilsynet fra den 31. august.

Vurderingen er baseret på de metoder, hackeraktiviteter og værktøjer, som de IT-kriminelle har anvendt.

Alle på Aalborg Universitet har nu skiftet deres adgangskode. Samtidig er dem, hvis CPR-nummer lå tilgængeligt, blevet opfordret til at være opmærksom på identitetstyveri.