Der bliver ikke rejst tiltale mod Esben Warming Pedersen, der i maj 2017 fandt et sikkerhedshul med ubegrænset adgang til cpr-numre i Frederiksberg Kommunes Pladsanvisningssystem, som udvikles og driftes af KMD.
Esben Warming Pedersen kunne via et Javascript, som benyttede en knap i systemet på websiden, tømme cpr-registeret for borgere, der er født på en bestemt dato, på »måske to et halvt minut.«
Esben Warming Pedersen kontaktede lederen af Pladsanvisningen i Frederiksberg Kommune og fortalte om fejlen.
Efterfølgende kontaktede KMD direktøren hos Esben Warming Pedersens arbejdsgiver, Netcompany, og meddelte på denne facon, at KMD havde anmeldt ham til politiet for hacking.
Nu har politi og anklagemyndighed altså droppet sagen. Esben Warming Pedersens advokat har blandt andet gjort myndighederne opmærksomme på to tidligere sager i Holbæk og København, hvor tilsvarende anklager om hacking også blev droppet.
Tilbage i 2017 begrundede executive vice president i KMD Mette Louise Kaagaard anmeldelsen således:
»Vi vil jo rigtig gerne have, at folk kontakter os med fejl og mangler og eventuelle sikkerhedshuller. Så det tager vi rigtigt godt imod. Det, der er udfordringen her, er, at den pågældende vælger at gå skridtet videre, ikke bare at anmelde fejlen, men se, om man kan få flere oplysninger end det, systemet lægger op til. Vi synes, der er tale om hacking, og derfor vælger vi at anmelde ham til politiet, men det skal stå klart, at vi vil gerne have henvendelser fra borgere, kunder og andre, der finder fejl og mangler i vores system, så vi kan få det løst.«
Overfor Version2 kommenterer KMD's kommunikationschef, Christoffer Hellmann, sagen således på mail:
»Når vi møder en – efter vores overbevisning – ikke lovlig tilgang og behandling af vores kunders data, så vil det være forbundet med vanskeligheder ikke at anmelde det. Det var vores opfattelse, at Esben Warmings metode til at gøre opmærksom på et sikkerhedshul hverken var lovlig eller på linje med god praksis i sådanne sager. Jeg kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann og fortsætter:
»Men vi tager naturligvis opgivelsen af sigtelsen til efterretning. KMD tog på bagkant af sagen sammen med IT-Branchen initiativ til at udfærdige et kodeks for indrapportering af sikkerhedsbrister, hvilket KMD er tilsluttet i dag. Vi har fortsat også en whistleblower-ordning, som man som borger kan benytte til at indrapportere eventuelle sikkerhedsbrister i vores systemer. Jeg vil gerne understrege, at KMD værdsætter at blive gjort opmærksom på sikkerhedsbrister, og der er god mulighed for at gøre det på en sikker og fuldt lovlig måde.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
