Anklaget for KMD-hacking: Jeg ville gøre det igen

Manden, der i en af årets mest bemærkelsesværdige it-historier, blev beskyldt for hacking, forklarer nu, at han ville gøre det igen, men er ked af, at sagen i dag drejer sig om hacking og ikke sikkerhedshullet.

De fleste it-interesserede i Danmark husker nok historien om Esben Warming, der blev hackeranmeldt for at bruge en fejl i KMDs systemer.

Selvom han havde de bedste intentioner med at bringe fokus på, at der var et tydeligt hul i sikkerheden, så endte sagen med, at KMD pudsede politiet efter ham.

Læs også: Politianmeldt af KMD for hacking: »Jeg er totalt uskyldig«

Han er dog i dag ikke i tvivl om, hvorvidt han gjorde det rigtige: Han ville nemligt gøre det igen, forklarer han til DR-programmet So ein Ding.

»Jeg var ked af, at hele opmærksomheden blev drejet over på min person og spørgsmålet, om jeg var en hacker mere end, at det her sikkerhedshul har været der i 12 år og KMDs andel i problemet,« siger han.

Illustration: Privat

Hackeranklaget selvom han forsøgte at hjælpe

Esben Warming arbejder i KMDs konkurrent NetCompany og undrede sig over, at man ved at indtaste et gyldigt CPR-nummer kunne få det tilsvarende navn frem. Med et script får Warming bevist, at systemet på ingen måde forhindrer misbrug - fx ved at bruteforce sig vej til en bestemt persons CPR-nummer.

Han forsøgte at råbe både Frederiksberg Kommune og KMD op, men det lod ikke til, at de tog hans opråb alvorligt, hvorefter han gik til pressen med en video af, at han havde lavet et program, der kunne hive persondata ud af systemet.

Læs også: KMD forklarer hacker-anmeldelse: »Det var naturligt for os at kontakte vedkommendes arbejdsplads«

Det blev for meget for KMD, der anmeldte ham til politiet for hacking.

Sikkerhedshullet blev opdaget, da Warming ville finde en børnehaveplads til sit barn, og selvom han hellere havde brugt tiden med sin søn end på en politisag, så fortryder han ikke, at han afslørede fejlen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Hans Schou

Efter indførsel af GDPR, må white hat arbejdsgangen være:

  1. Meddel den dataansvarlige
  2. Anmeldelse til politiet
  3. Anmeld politiet og den dataansvarlige til pressen

Hvis man ikke har tillid til ovenstående, så er der passivitet eller Dark Net. Flest mennesker gider nok ikke rigtigt at bruge deres liv på det, og vælger passivitet. De har min fulde forståelse.

  • 10
  • 0
#2 Claus Bobjerg Juul

Jeg syntes det er godt at Espen holder fast i sin principielle holdning.

Er godt råd til andre, fra en der har været der selv : dokumentere alt hvad og hvornår du gør det og hvad en evt. modpart gør og hvornår.

  • 9
  • 0
#5 Henrik Madsen

Datatilsynet havde nok været vejen frem. Hvis nogen glemmer at låse hoveddøren, er det da heller ikke ok at gå hen og åbne den på vid gab...

Så hvis jeg lejer en bankboks i banken til mine personlige effekter og mistænker at den ikke er låst så kan jeg ikke tillade mig at gå hen og mærke efter om den er låst før jeg melder dem til banktilsynet fordi jeg syntes at banken opfører sig uansvarligt ved at min bankboks er ulåst.

  • 1
  • 0
#7 Ivo Santos

Havde Datatilsynet haft de samme beføjelser som f.eks. sundhedskontrollen eller det flykontrollen 'NTSB', så havde det måske nok været en god ide, men eftersom at Datatilsynet er en reguler joke, så er det nok ikke den vej man skal starte.

  • 1
  • 0
#8 Ivo Santos

Havde Datatilsynet haft de samme beføjelser som f.eks. sundhedskontrollen eller det flykontrollen 'NTSB', så havde det måske nok været en god ide, men eftersom at Datatilsynet er en reguler joke, så er det nok ikke den vej man skal starte.

  • 1
  • 0
Log ind eller Opret konto for at kommentere