Anklage: Tys-tys-kilde delte private kreditkortoplysninger i mindst 662 tilfælde

21. juli 2016 kl. 09:0314
I mindst 662 tilfælde videregav den såkaldte tys-tys-kilde private kreditkortoplysninger om kongelige og kendte til Se og Hør. Anklagemyndigheden kræver fængselsstraf til de otte centrale personer i den historisk store lækage-sag
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Onsdag aften blev anklageskriftet i den bemærkelsesværdige Se og Hør-sag offentliggjort. Her fremgår det, at den såkaldte tys tys-kilde i mindst 662 tilfælde har udleveret oplysninger om 135 offentligt kendte personer.

Oplysningerne havde han adgang til i kraft af sit arbejde som systemoperatør hos IBM, der samarbejdede med NETS. Det var i den forbindelse, at han løbende videregav personlige oplysninger til Se og Hørs journalister.

Det skriver Berlingske og flere andre danske medier.

Anklageskriftet kommer efter at flere medarbejdere hos Aller Media den 6. juni blev tiltalt for at være medvirkende til overvågning af kendte og kongeliges dagligdag ved hjælp af kreditkortoplysninger.

Delte data om 163 kendte

I anklageskriftet fremgår det, at kilden mindst 523 gange søgte i kreditkortdatabaserne, skaffede adgang til 163 offentlig kendte personers kreditkortoplysninger, og at Se og Hør-ansatte i mindst 662 tilfælde modtog oplysninger om disse personer.

Artiklen fortsætter efter annoncen

Foruden tystys-kilden står både tidligere chefredaktør Henrik Qvortrup og seks andre tidligere Se og Hør-medarbejdere til fængselsstraf, hvis det står til Københavns Vestegns Politis Agentur for Specielle sager. Alle otte personer er tiltalt efter paragraffer med en øvre straframme på seks år.

Men selvom tys-tys-kilden allerede har erkendt flere af de ulovlige forhold, vurderer hans advokat Michael Juul Eriksen overfor Berlingske, at det kan blive svært at føre sagen efter hackerparagraffen.

»Vores opfattelse er, at hvis man videregiver oplysninger, som man har adgang til på grund af ens arbejde, er der ikke tale om hacking. For at der skal være tale om det, skal man uberettiget have skaffet sig den adgang. Det bestrider han at have gjort,« siger Michael Juul Eriksen til Berlingske.

Koncernen Aller Media A/S, der også står tiltalt, har tidligere vedkendt sig deres ansvar og er gået med til at betale en bøde.

'Vi har i forbindelse med modtagelsen af anklageskriftet 6/7 vedkendt de beskrevne forhold. De konkrete drøftelser om dette tager vi på retsmødet til august', skriver kommunikationschef hos Aller Media, Kasper Kankelborg, i en kommentar til TV 2.

Det vides endnu ikke, om der er tale om betinget eller ubetinget fængsel, før retsagen går i gang.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
22. juli 2016 kl. 12:03

...men Aller er vel kun skyldige i at bruge disse oplysninger, medmindre de selv har bedt om at få dem (og det mener jeg ikke at de har).t

Der er forhåbentlig en der er ansvarlig for datasikkerheden, og som i mindst tre år ikke har opdaget at systemet er blevet misbrugt - tre år!. Det er det samme hver gang der er en skandale - ingen ansvarlige. I den ikke-digitale-verden var folk som minimum blevet fyret hvis de glemte at låse døren om aftenen eller sætte alarmen til (gentagne gange).

Som minimum burde Aller miste retten til at opbevare personfølsomme oplysninger (utopi), desværre kan man ikke indføre det samme for statslige myndigheder.

13
22. juli 2016 kl. 10:03

Utroligt at der ikke er en ansvarlig chef som de kan tiltale.

...men Aller er vel kun skyldige i at bruge disse oplysninger, medmindre de selv har bedt om at få dem (og det mener jeg ikke at de har).t

12
22. juli 2016 kl. 09:38

For hacking er strafferammen normalt op til 1½ års fængsel og under skærpende omstændigheder op til 6 års fængsel (Straffelovens § 263 a) hvorimod den som vidergiver fortrolige oplysninger er straframmen op til 6 måneders fængsel og under skærpende omstændigheder op til 6 års fængsel (Straffelovens § 264).

Hvis det kan bevises at han har lavet nummeret 662 gange, så er det da netop skærpende omstændigheder. Der er næppe noget formildende i at det har været nemt for ham.

11
22. juli 2016 kl. 08:52

At have adgang til data er ikke det samme som at det er berettiget at tilgå dem.

Der er ikke nogen som er uenige i at det ulovligt. Det vi debatter er strafferammen.

For hacking er strafferammen normalt op til 1½ års fængsel og under skærpende omstændigheder op til 6 års fængsel (Straffelovens § 263 a) hvorimod den som vidergiver fortrolige oplysninger er straframmen op til 6 måneders fængsel og under skærpende omstændigheder op til 6 års fængsel (Straffelovens § 264).

Problemet med de skærpende omstændigheder i § 264 er anklageren skal bevise at de kendte som f.eks. Mads Mikkelsen har lidt en skade af at blive fotograferet et offentligt sted. Det er "opad bakke" for anklageren , for ikke at sige umuligt.

Det er langt lettere med de skærpende omstændigheder i § 263a fordi har anklageren en log skal han jo blot bevise at det er hacking ved f.eks. overskrivning af password og at det er sket mange gange over en lang periode.

Så sat på spidsen taler vi om det skal koste 6 måneder eller 6 år at gå ind i det hus du taler om.

10
22. juli 2016 kl. 08:40

Koncernen Aller Media A/S, der også står tiltalt, har tidligere vedkendt sig deres ansvar og er gået med til at betale en bøde.

Utroligt at der ikke er en ansvarlig chef som de kan tiltale.

9
21. juli 2016 kl. 22:26

hvis han via sit job har adgang til oplysningerne - er adgangen jo ikke uberettiget

At have adgang til data er ikke det samme som at det er berettiget at tilgå dem.

Jeg har adgang til personfølsomme oplysninger på ca. 150.000 danskere på mit arbejde. Jeg må naturligvis kun tilgå lige præcis de data, der skal til, for at jeg kan udføre mit arbejde. På daglig basis data for 30-40 mennesker. Hvis jeg ikke kan komme med en god grund til hvorfor jeg har tilgået den enkelte borgers informationer, er det pr. definition uberettiget.

For nu at lave en halvdårlig analogi: At jeg har adgang til dit hus er ikke det samme som at jeg er berettiget til at træde indenfor.

8
21. juli 2016 kl. 15:16

Der kan næppe være nogen (udover de tiltalte) der kan være i tvivl om at 'tys-tys-kilden' ubrettiget har skaffet sig adgang til kreditkortoplysninger?

Han bliver næppe månedens medarbejder, men hvis han via sit job har adgang til oplysningerne - er adgangen jo ikke uberettiget og derfor kan det ikke være hacking.

Når det er sagt så bliver det jo ikke lovligt af det, blot at det en mildere strafferamme.

Det er derfor ikke uvæsentligt om tystys-kilden har tilgået oplysningerne via sin egen brugerprofil eller en kollegas brugerprofil.

7
21. juli 2016 kl. 14:35

Jeg forstår ærligt talt ikke hvorfor der er så mange der debatterer hvorvidt der er tale om hacking.

Straffelovens §263 Stk. 2.: "Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem."

Der kan næppe være nogen (udover de tiltalte) der kan være i tvivl om at 'tys-tys-kilden' ubrettiget har skaffet sig adgang til kreditkortoplysninger?

6
21. juli 2016 kl. 12:52

Nu tror jeg ikke det har været så meget styr på det, at han har skulle bruge så "avancerede" teknologier. Så man kan nok ikke tale om hacking. Måske bare delte adgangskoder eller bruger, eller ingen sletning af en afgående person.

Men hvis anklagemyndigheden skal bevise et hack, må der være log på banen. Så hvis ikke dommeren er totale tåber som i CSC sagen, kan det være op af bakke for anklagemyndighederne.

Vil mere mene at sagen er tæt på ran, eller tyveri af her data fra virksomheden. Det ser jo også ud til at andre foretog opslag af nysgerrighed ?

5
21. juli 2016 kl. 11:46

Hvis tystys-kilden var administrator så var det muligvis muligt at gendanne det gamle password fra en backup.

Interessant ide!

Udenom backupsystemet først tage en lokalkopi af passwordfilen af en kollega som ikke er tilstede på det tidspunkt. Nulstille kollegaens password, fortage søgningen og derpå genindlæse passwordfilen ved overskrivning.

På den måde opdager kollegaen ikke at brugeren er blevet "misbrugt", men burde det ikke fremgå loggen fra backupsystemet, såvel som af selve backuppen?

4
21. juli 2016 kl. 10:54

Hvis tystys-kilden var administrator så var det muligvis muligt at gendanne det gamle password fra en backup.

Mnjae, nu var han altså "batch-operatør" på en IBM mainframe og det var RACF og ikke Active Directory.

Men bortset fra det: Ja, han har utvivlsomt genetableret det tidligere password igen når han var færdig med at snage.

Måden det virker på i alle ikke-demente miljøer er at passwords er scramblede, således at han ikke kan se hvad password er, men hvis han har skriveadgang til password-systemet kan han kopiere det scramblede password tilbage når han er færdig med sine ugerninger.

Hvor er anklagen imod firmaet for ikke at have opdaget at en medarbejder fusker med persondatafølsomme adgangskontroller ?

3
21. juli 2016 kl. 10:43

....og hvis der var en SIEM løsning på plads så ville det ikke være muligt at skjule. ;-)

1
21. juli 2016 kl. 09:22

»Vores opfattelse er, at hvis man videregiver oplysninger, som man har adgang til på grund af ens arbejde, er der ikke tale om hacking. For at der skal være tale om det, skal man uberettiget have skaffet sig den adgang. Det bestrider han at have gjort,« siger Michael Juul Eriksen til Berlingske.

Som jeg har forstået hackeargumentet, så er det at tystys-kilden har nulstillet sine kollegaers adgangskode og derpå logget ind som kollegaen – for at lave en søgning til ”Se og Hør”. Hvis det er rigtigt, så er det hacking – ingen tvivl om det.

Men det jeg ikke forstår, er at tystys-kildens kollegaer ikke reagerer på at deres brugeradgang gentagende gange bliver nulstillet.

Hvis min brugeradgang uden mit vidende blev nulstillet – ville jeg da tilgå loggen for at finde ud af hvad der var sket og jeg ville gå banas, hvis jeg opdagede at jeg først var nulstillet og lige derefter loggede ind fra samme IP som lige havde nulstillet mig.

Der er noget som ikke rimer.