Anklage: Tys-tys-kilde delte private kreditkortoplysninger i mindst 662 tilfælde

I mindst 662 tilfælde videregav den såkaldte tys-tys-kilde private kreditkortoplysninger om kongelige og kendte til Se og Hør. Anklagemyndigheden kræver fængselsstraf til de otte centrale personer i den historisk store lækage-sag

Onsdag aften blev anklageskriftet i den bemærkelsesværdige Se og Hør-sag offentliggjort. Her fremgår det, at den såkaldte tys tys-kilde i mindst 662 tilfælde har udleveret oplysninger om 135 offentligt kendte personer.

Oplysningerne havde han adgang til i kraft af sit arbejde som systemoperatør hos IBM, der samarbejdede med NETS. Det var i den forbindelse, at han løbende videregav personlige oplysninger til Se og Hørs journalister.

Det skriver Berlingske og flere andre danske medier.

Læs også: Se og Hørs tys-tys-kilde tiltalt for hacking

Anklageskriftet kommer efter at flere medarbejdere hos Aller Media den 6. juni blev tiltalt for at være medvirkende til overvågning af kendte og kongeliges dagligdag ved hjælp af kreditkortoplysninger.

Delte data om 163 kendte

I anklageskriftet fremgår det, at kilden mindst 523 gange søgte i kreditkortdatabaserne, skaffede adgang til 163 offentlig kendte personers kreditkortoplysninger, og at Se og Hør-ansatte i mindst 662 tilfælde modtog oplysninger om disse personer.

Foruden tystys-kilden står både tidligere chefredaktør Henrik Qvortrup og seks andre tidligere Se og Hør-medarbejdere til fængselsstraf, hvis det står til Københavns Vestegns Politis Agentur for Specielle sager. Alle otte personer er tiltalt efter paragraffer med en øvre straframme på seks år.

Men selvom tys-tys-kilden allerede har erkendt flere af de ulovlige forhold, vurderer hans advokat Michael Juul Eriksen overfor Berlingske, at det kan blive svært at føre sagen efter hackerparagraffen.

»Vores opfattelse er, at hvis man videregiver oplysninger, som man har adgang til på grund af ens arbejde, er der ikke tale om hacking. For at der skal være tale om det, skal man uberettiget have skaffet sig den adgang. Det bestrider han at have gjort,« siger Michael Juul Eriksen til Berlingske.

Koncernen Aller Media A/S, der også står tiltalt, har tidligere vedkendt sig deres ansvar og er gået med til at betale en bøde.

'Vi har i forbindelse med modtagelsen af anklageskriftet 6/7 vedkendt de beskrevne forhold. De konkrete drøftelser om dette tager vi på retsmødet til august', skriver kommunikationschef hos Aller Media, Kasper Kankelborg, i en kommentar til TV 2.

Det vides endnu ikke, om der er tale om betinget eller ubetinget fængsel, før retsagen går i gang.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

»Vores opfattelse er, at hvis man videregiver oplysninger, som man har adgang til på grund af ens arbejde, er der ikke tale om hacking. For at der skal være tale om det, skal man uberettiget have skaffet sig den adgang. Det bestrider han at have gjort,« siger Michael Juul Eriksen til Berlingske.

Som jeg har forstået hackeargumentet, så er det at tystys-kilden har nulstillet sine kollegaers adgangskode og derpå logget ind som kollegaen – for at lave en søgning til ”Se og Hør”. Hvis det er rigtigt, så er det hacking – ingen tvivl om det.

Men det jeg ikke forstår, er at tystys-kildens kollegaer ikke reagerer på at deres brugeradgang gentagende gange bliver nulstillet.

Hvis min brugeradgang uden mit vidende blev nulstillet – ville jeg da tilgå loggen for at finde ud af hvad der var sket og jeg ville gå banas, hvis jeg opdagede at jeg først var nulstillet og lige derefter loggede ind fra samme IP som lige havde nulstillet mig.

Der er noget som ikke rimer.

  • 4
  • 0
Poul-Henning Kamp Blogger

Hvis tystys-kilden var administrator så var det muligvis muligt at gendanne det gamle password fra en backup.

Mnjae, nu var han altså "batch-operatør" på en IBM mainframe og det var RACF og ikke Active Directory.

Men bortset fra det: Ja, han har utvivlsomt genetableret det tidligere password igen når han var færdig med at snage.

Måden det virker på i alle ikke-demente miljøer er at passwords er scramblede, således at han ikke kan se hvad password er, men hvis han har skriveadgang til password-systemet kan han kopiere det scramblede password tilbage når han er færdig med sine ugerninger.

Hvor er anklagen imod firmaet for ikke at have opdaget at en medarbejder fusker med persondatafølsomme adgangskontroller ?

  • 6
  • 0
René Nielsen

Hvis tystys-kilden var administrator så var det muligvis muligt at gendanne det gamle password fra en backup.


Interessant ide!

Udenom backupsystemet først tage en lokalkopi af passwordfilen af en kollega som ikke er tilstede på det tidspunkt. Nulstille kollegaens password, fortage søgningen og derpå genindlæse passwordfilen ved overskrivning.

På den måde opdager kollegaen ikke at brugeren er blevet "misbrugt", men burde det ikke fremgå loggen fra backupsystemet, såvel som af selve backuppen?

  • 3
  • 0
Bent Jensen

Nu tror jeg ikke det har været så meget styr på det, at han har skulle bruge så "avancerede" teknologier. Så man kan nok ikke tale om hacking.
Måske bare delte adgangskoder eller bruger, eller ingen sletning af en afgående person.

Men hvis anklagemyndigheden skal bevise et hack, må der være log på banen. Så hvis ikke dommeren er totale tåber som i CSC sagen, kan det være op af bakke for anklagemyndighederne.

Vil mere mene at sagen er tæt på ran, eller tyveri af her data fra virksomheden. Det ser jo også ud til at andre foretog opslag af nysgerrighed ?

  • 0
  • 0
Claus Pedersen

Jeg forstår ærligt talt ikke hvorfor der er så mange der debatterer hvorvidt der er tale om hacking.

Straffelovens §263 Stk. 2.:
"Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem."

Der kan næppe være nogen (udover de tiltalte) der kan være i tvivl om at 'tys-tys-kilden' ubrettiget har skaffet sig adgang til kreditkortoplysninger?

  • 5
  • 0
René Nielsen

Der kan næppe være nogen (udover de tiltalte) der kan være i tvivl om at 'tys-tys-kilden' ubrettiget har skaffet sig adgang til kreditkortoplysninger?

Han bliver næppe månedens medarbejder, men hvis han via sit job har adgang til oplysningerne - er adgangen jo ikke uberettiget og derfor kan det ikke være hacking.

Når det er sagt så bliver det jo ikke lovligt af det, blot at det en mildere strafferamme.

Det er derfor ikke uvæsentligt om tystys-kilden har tilgået oplysningerne via sin egen brugerprofil eller en kollegas brugerprofil.

  • 2
  • 1
Mogens Hansen

hvis han via sit job har adgang til oplysningerne - er adgangen jo ikke uberettiget


At have adgang til data er ikke det samme som at det er berettiget at tilgå dem.

Jeg har adgang til personfølsomme oplysninger på ca. 150.000 danskere på mit arbejde. Jeg må naturligvis kun tilgå lige præcis de data, der skal til, for at jeg kan udføre mit arbejde. På daglig basis data for 30-40 mennesker. Hvis jeg ikke kan komme med en god grund til hvorfor jeg har tilgået den enkelte borgers informationer, er det pr. definition uberettiget.

For nu at lave en halvdårlig analogi: At jeg har adgang til dit hus er ikke det samme som at jeg er berettiget til at træde indenfor.

  • 3
  • 1
René Nielsen

At have adgang til data er ikke det samme som at det er berettiget at tilgå dem.


Der er ikke nogen som er uenige i at det ulovligt. Det vi debatter er strafferammen.

For hacking er strafferammen normalt op til 1½ års fængsel og under skærpende omstændigheder op til 6 års fængsel (Straffelovens § 263 a) hvorimod den som vidergiver fortrolige oplysninger er straframmen op til 6 måneders fængsel og under skærpende omstændigheder op til 6 års fængsel (Straffelovens § 264).

Problemet med de skærpende omstændigheder i § 264 er anklageren skal bevise at de kendte som f.eks. Mads Mikkelsen har lidt en skade af at blive fotograferet et offentligt sted. Det er "opad bakke" for anklageren , for ikke at sige umuligt.

Det er langt lettere med de skærpende omstændigheder i § 263a fordi har anklageren en log skal han jo blot bevise at det er hacking ved f.eks. overskrivning af password og at det er sket mange gange over en lang periode.

Så sat på spidsen taler vi om det skal koste 6 måneder eller 6 år at gå ind i det hus du taler om.

  • 1
  • 0
Claus Pedersen

For hacking er strafferammen normalt op til 1½ års fængsel og under skærpende omstændigheder op til 6 års fængsel (Straffelovens § 263 a) hvorimod den som vidergiver fortrolige oplysninger er straframmen op til 6 måneders fængsel og under skærpende omstændigheder op til 6 års fængsel (Straffelovens § 264).

Hvis det kan bevises at han har lavet nummeret 662 gange, så er det da netop skærpende omstændigheder. Der er næppe noget formildende i at det har været nemt for ham.

  • 0
  • 1
Christian Bruun

...men Aller er vel kun skyldige i at bruge disse oplysninger, medmindre de selv har bedt om at få dem (og det mener jeg ikke at de har).t

Der er forhåbentlig en der er ansvarlig for datasikkerheden, og som i mindst tre år ikke har opdaget at systemet er blevet misbrugt - tre år!. Det er det samme hver gang der er en skandale - ingen ansvarlige. I den ikke-digitale-verden var folk som minimum blevet fyret hvis de glemte at låse døren om aftenen eller sætte alarmen til (gentagne gange).

Som minimum burde Aller miste retten til at opbevare personfølsomme oplysninger (utopi), desværre kan man ikke indføre det samme for statslige myndigheder.

  • 1
  • 0
Log ind eller Opret konto for at kommentere