Ett "tekniskt fel" i Ping pong öppnade ett kryphål för hackarna.
– Vi ser mycket allvarligt på det, säger bildningsförvaltningens biträdande chef Jörgen Rüdeberg.
Efter ett tips från en vårdnadshavare slog förvaltningen den 24 november larm till Ping pong, företaget som tillhandahåller lärplattformen med samma namn.
Företaget kunde snabbt identifiera ett kryphål i systemet som hackarna kunnat ta sig igenom.
På så sätt fick de åtkomst till minst 63 elevers bedömningsmatriser, som innehåller betyg, omdömen och visar hur elevernas skolarbete utvecklats över tid.
Eleverna går på olika grundskolor i årskurserna 6–9 samt i gymnasiet.
– De som varit inne har inte kunnat förändra någon information i matriserna. Det blev vi först väldigt oroliga för, säger Rüdeberg.
Matriserna är dock kopplade till elevernas personuppgifter, vilket gör hackerattacken än mer allvarlig och olustig, tycker Rüdeberg. Den har därför anmälts till Datainspektionen som en personuppgiftsincident.
Däremot har hackarna inte kunnat ta del av några sekretessbelagda personuppgifter, uppger bildningsförvaltningen.
Händelsen anmäldes på torsdagen även till polisen. Brottsrubriceringen är dataintrång. Bildningsförvaltningens egen utredning visar i nuläget att det är fyra av kommunens egna elever som står bakom intrånget.
– Vi utesluter inte att de kan ha varit fler. När det gäller deras avsikt, har vi hittills inte uppfattat att det funnits något ont uppsåt. Min högst personliga bedömning är att de varit nyfikna och velat testa om de kunde ta sig in.
– Problemet, fortsätter Rüdeberg, är att man gått in i så många matriser. Hade man gjort det i ett fåtal fall och sedan själva anmält vad man gjort, hade det varit mindre allvarligt.
Kryphålet som utnyttjats beskrivs som ett tekniskt fel. Bildningsförvaltningen är kritisk mot Ping pong för att intrånget alls kunnat ske.
– Samtidigt har företaget tagit det här på största allvar, det vill jag framhålla. Inom 24 timmar var det åtgärdat.
Lärplattformen har inte någon gång förut utsatts för intrång. Att den ska bytas ut under nästa år har i första hand inget med säkerhet att göra.
– I och med att Pingpong agerade så snabbt tycker jag att vi vågar fortsätta använda plattformen till dess att vi byter. Men den här versionen av Ping pong finns inte med i det nya upphandlingsuppdraget, den är på väg ut. Vad den ersätts med avgörs i vår, säger Jörgen Rüdeberg.