Kommunens dataskyddsombud Andreas Peterzén medger att intrånget inte bara varit av ondo.
Det var en enskild högstadieelev som först knäckte koden till lärplattformen.
Det gav honom och några kompisar tillgång till drygt 60 elevers bedömningsmatriser och personuppgifter.
Kommunen ser allvarligt på händelsen som anmälts till polisen och Dataskyddsinspektionen. Men den bör ses också i ett annat ljus.
Det tycker en av ”hackarnas” föräldrar, som slog larm till bildningsförvaltningen.
– Jag försåg dem med information som visade hur vidöppet systemet är. Det har gått att gå in och titta på vilken elev som helst, enligt föräldern.
Hans dator- och programmeringsintresserade tonåring berättade självmant om upptäckten.
– Hur de gick till väga övergår min hyfsade kompetens. Men han gjorde en genomgång och visade på ett papper hur han hade gjort.
I Ping pong har varje elev i kommunens skolor ett eget konto med unikt id-nummer. Lärplattformen används till mycket, bland annat kommunikation mellan skolpersonal, elever och föräldrar.
Där finns också varje elevs bedömningsmatris, med omdömen och resultat i skolarbetet. Dessa ska endast behöriga lärare, eleven och dess vårdnadshavare kunna se. Det var dessa uppgifter hackarna kom åt.
– Hela systemet låg öppet när de väl visste hur de skulle göra för att komma in, beskriver föräldern.
Vad de gjorde, enkelt uttryckt, var att manipulera kod.
– De har lyckats se vad det är för kod som exekveras, verkställs, när man klickar på en länk. Sedan har de ändrat i kodsträngens unika id-nummer, säger kommunens dataskyddsombud Andreas Peterzén.
Det finns ett par olika sätt för att komma åt andras id-nummer. Peterzén kan bara gissa vilket som använts.
Oavsett har ett högt antal elever i årskurserna 6–9 och gymnasiet utsatts. Enligt föräldern har uppsåtet inte varit ont. Inget talar i nuläget för att uppgifterna har spridits vidare.
– Jag kan förstå att det anmälts. Men samtidigt har det varit till kommunens fördel att få veta hur sårbart systemet är. Jag tycker att man kan se det som en form av visselblåsande, säger föräldern.
Andreas Peterzén kan hålla med om det – till viss del.
– På ett sätt är vi glada, för nu har vi kunnat trycka på hos leverantören och säkra systemet. Men det här är dubbelt. Jag hade kunnat köpa det som hänt, om eleven varit ensam om det och bara gjort ett par, tre intrång för att se att det funkade. Men när kunskapen sedan delades med fler är det nåt annat.