Blev anmeldt for hacking af KMD – nu er sagen droppet

9. oktober 2019 kl. 11:3027
Blev anmeldt for hacking af KMD – nu er sagen droppet
Illustration: KMD.
Der bliver ikke rejst tiltale mod Esben Warming Pedersen, der fandt et sikkerhedshul med ubegrænset adgang til cpr-numre i KMD's systemer.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Der bliver ikke rejst tiltale mod Esben Warming Pedersen, der i maj 2017 fandt et sikkerhedshul med ubegrænset adgang til cpr-numre i Frederiksberg Kommunes Pladsanvisningssystem, som udvikles og driftes af KMD.

Esben Warming Pedersen kunne via et Javascript, som benyttede en knap i systemet på websiden, tømme cpr-registeret for borgere, der er født på en bestemt dato, på »måske to et halvt minut.«

Esben Warming Pedersen kontaktede lederen af Pladsanvisningen i Frederiksberg Kommune og fortalte om fejlen.

Efterfølgende kontaktede KMD direktøren hos Esben Warming Pedersens arbejdsgiver, Netcompany, og meddelte på denne facon, at KMD havde anmeldt ham til politiet for hacking.

Artiklen fortsætter efter annoncen

Nu har politi og anklagemyndighed altså droppet sagen. Esben Warming Pedersens advokat har blandt andet gjort myndighederne opmærksomme på to tidligere sager i Holbæk og København, hvor tilsvarende anklager om hacking også blev droppet.

Tilbage i 2017 begrundede executive vice president i KMD Mette Louise Kaagaard anmeldelsen således:

»Vi vil jo rigtig gerne have, at folk kontakter os med fejl og mangler og eventuelle sikkerhedshuller. Så det tager vi rigtigt godt imod. Det, der er udfordringen her, er, at den pågældende vælger at gå skridtet videre, ikke bare at anmelde fejlen, men se, om man kan få flere oplysninger end det, systemet lægger op til. Vi synes, der er tale om hacking, og derfor vælger vi at anmelde ham til politiet, men det skal stå klart, at vi vil gerne have henvendelser fra borgere, kunder og andre, der finder fejl og mangler i vores system, så vi kan få det løst.«

Overfor Version2 kommenterer KMD's kommunikationschef, Christoffer Hellmann, sagen således på mail:

»Når vi møder en – efter vores overbevisning – ikke lovlig tilgang og behandling af vores kunders data, så vil det være forbundet med vanskeligheder ikke at anmelde det. Det var vores opfattelse, at Esben Warmings metode til at gøre opmærksom på et sikkerhedshul hverken var lovlig eller på linje med god praksis i sådanne sager. Jeg kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann og fortsætter:

»Men vi tager naturligvis opgivelsen af sigtelsen til efterretning. KMD tog på bagkant af sagen sammen med IT-Branchen initiativ til at udfærdige et kodeks for indrapportering af sikkerhedsbrister, hvilket KMD er tilsluttet i dag. Vi har fortsat også en whistleblower-ordning, som man som borger kan benytte til at indrapportere eventuelle sikkerhedsbrister i vores systemer. Jeg vil gerne understrege, at KMD værdsætter at blive gjort opmærksom på sikkerhedsbrister, og der er god mulighed for at gøre det på en sikker og fuldt lovlig måde.«

27 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
27
17. oktober 2019 kl. 23:50

Jeg kunne godt forestille mig at det var en ret almindelig fejl. Hvad nu hvis man har ansat en person og skal oprette vedkommende her og der.

26
17. oktober 2019 kl. 13:40
Jeg tror at et lignende problem findes når man skal anmelde en arbejdsulykke på virk.dk. Jeg lavede en tastefejl i cpr feltet og fik et navn ud som ikke er firmaet vedkommende, hår dog ikke testet for random cpr numre.
25
14. oktober 2019 kl. 07:41

Hvis du med checksum tænker på kontrolciffer i det gamle CPR nummer, så var der kun ca 540 gyldige numre pr.dag.

Håber da at det er deres Access log at de har kunnet se alle requests.

24
12. oktober 2019 kl. 14:06

hvordan i alverden kan de så sige så eksplicit at han har foretaget 2.366 uretmæssige opslag.</p>
<p>De har vel haft en ganske fornuftig logging af brugeres adgang til persondata.

Eller også har de blot lavet lidt matematik. Der står at han fandt alle borgere der var født på en bestemt dato. Så mangler han de sidste 4 cifre, og sorterer man dem fra hvor checksum ikke passer, så ender man måske med 2.366

23
10. oktober 2019 kl. 14:52

Hvordan kan det tage så lang tid? skulle de ikke bare være glade for at han reagerede på det inden de endte i en total shitstorm?

22
10. oktober 2019 kl. 14:34

Ja tak - det viser jo kun bevisets stilling. I almindelighed vil man jo stadig være 'lidt' mistænkt - beviset var bare ikke stærkt nok. Det er talentløst af både KMD og Politiet.

21
10. oktober 2019 kl. 13:22

Jeg faldt lige over det her, som forklarer sagen lidt nærmere

Kommunen tog det ikke seriøst</p>
<p>Han kontaktede straks kommunen for at gøre opmærksom på fejlen, men ifølge Esben Warming forstod de aldrig alvoren i problemet.</p>
<p>Kommunen bad ham om selv at undersøge problemet nærmere. Senere er det kommet frem, at KMD i første omgang ikke mente, at der var nogen fejl i systemet.</p>
<p>Warming oprettede derfor en kode, som automatisk hev CPR-numre ud af databasen, for at se, om systemet havde en indbygget stopklods og ville blokere ham efter nogle forsøg. Det gjorde det ikke.

https://www.dr.dk/nyheder/viden/teknologi/anklaget-cpr-tyveri-jeg-ville-goere-det-igen

20
10. oktober 2019 kl. 12:43

Det her skete før GDPR trådte i kraft

Nej det gjorde det sådan set ikke - det skete før der kunne tildeles bøder for overtrædelse af GDPR lovgivningen (den simple version), men reglerne eksisterede allerede på det tidspunkt.

18
10. oktober 2019 kl. 09:23

Der der nogen der ved om KMD rent faktisk informerede de 850 personer om at deres data var blevet tilgået?

Så vidt jeg ved er det ikke databehandlers (KMD's) ansvar at oplyse de registrerede (borgerne) om, at der har været uretmæssigt adgang til deres data. Det ansvar påhviler dataejer som må være Frederiksberg Kommune.

17
10. oktober 2019 kl. 08:22

Der der nogen der ved om KMD rent faktisk informerede de 850 personer om at deres data var blevet tilgået?

16
9. oktober 2019 kl. 20:52

KMD, kom nu ind i kampen og gør det rigtig, og det gælder også for alle andre virsomheder,

En ting der måske er overset/glemt, er at KMD startede med at finde ud af hvem Esben var, og opdaget at han var ansat hos Netcompany og med høj sandsynlighed også at han var tilknyttet et projekt der arbejde med at erstatte et gammelt KMD system.

Så man kunne med lidt "sølvpapirshat" se det som et forsøg på at sætte en kæp i hjulet på at en konkurrent skal have success med at levere på den kontrakt de vandt over KMD.

Disclamer: Jeg er ansat i Netcompany, har dog ikke direkte kendskab til sagen gennem Netcompany, kun via medier.

15
9. oktober 2019 kl. 16:12

Det, synes jeg så godt nok, lyder voldsomt.....

Det lyder også som mange forsøg på at påvise en sikkerhedsbrist. Det kunne være interessant at se, om hvilke fødselsdatoer, der er forsøgt med og om datoerne afspejler en form for systematik. Tænker dog at KMD nok havde meldt ud, hvis der fx. havde været forsøgt med Dronningen eller Kronprinsens fødselsdatoer...

Nuvel - det er jo også lige meget nu, hvor politiet har droppet sigtelsen. Tillykke til Esben!

14
9. oktober 2019 kl. 15:41

Det mest utrolige i denne sag er ikke hvor inkompente KMD er, eller at de forsøgte at melde Esben til politiet frem for at takke ham. Men at KMD helt har ungået nogen for for staff i forbindelse med denne sag.

Jeg fik den tanke, at der - måske - ligger noget juridisk fikumdik bag.

IANAL...

Men GDPR var jo trådt i kraft i '17. Den blev bare ikke håndhævet. Hvis nu der blevet lavet en skueprocess ud af Esbens handlinger, så ville KMD jo skulle fortælle - til officielt referat i retten - at data ikke var passet ordentligt på....Og dermed vel egentligt gøre en GDPR-sag til en tilståelsessag.

K

12
9. oktober 2019 kl. 14:52

Ja det viser til fulde politiets inkompetence og manglende forståelse.

11
9. oktober 2019 kl. 14:28

Det mest utrolige i denne sag er ikke hvor inkompente KMD er, eller at de forsøgte at melde Esben til politiet frem for at takke ham. Men at KMD helt har ungået nogen for for staff i forbindelse med denne sag.

9
9. oktober 2019 kl. 13:42

Når man betænker at KMD dårligt nok kan finde deres egen bagdel i en telefonboks, hvordan i alverden kan de så sige så eksplicit at han har foretaget 2.366 uretmæssige opslag.

Måske fordi Det Centrale Personregister tager sig betalt for den slags opslag - KMD har sikkert bare undret sig over regningen.

8
9. oktober 2019 kl. 13:35

Jeg vil gerne understrege, at KMD værdsætter at blive gjort opmærksom på sikkerhedsbrister

"Deres opkald er vigtigt for os, og vil blive besvaret hurtigst muligt" Hvis mit opkald var vigtigt for jer ville I ansætte flere til at tage telefonen. Hvis KMD virkelig værdsatte at blive gjort opmærksom på sikkerhedsbrister, ville de ikke sagsøge dem, der fandt dem. Handling taler mere end ord.

Disclaimer: Jeg er ansat i Netcompany men kender kun sagen fra pressen.

7
9. oktober 2019 kl. 13:19

Jeg kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann ...

Og!, hvad så, det vigtigste er vel at han kontaktede de relevante i stedet for at videregive informationaerne om hullet til enten kineserne eller russerne. KMD kunne have undgået al denne dårlige omtale hvis de i stedet for at havde sendt en gave og findeløn til vedkomne i stedet for at gå rettens vej. Jeg ser det desuden lidt som en glidebane mod amerikanske tilstande når folk bliver sagsøgt for nærmest ingenting. Hvad bliver det næste? Hvad vil f.eks. arbejdsgiverne sige til at alle jobsøgere som fik et afslag sagsøgte de pågældende arbedsjgivere for diskrimation, racisme eller lignende? KMD, kom nu ind i kampen og gør det rigtig, og det gælder også for alle andre virsomheder,

Jeg må tilstå at hvis man alligevel ender i retten uanset hvad man gør, så er det lige før jeg kunne finde på at videre give de relevante data til enten russerne eller kineserne for så ved man da at nogen kommer på overarbejde, uanset bødens størrelse eller længden af ens fængselstraf.

5
9. oktober 2019 kl. 12:57

Jeg kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre

Når man betænker at KMD dårligt nok kan finde deres egen bagdel i en telefonboks, hvordan i alverden kan de så sige så eksplicit at han har foretaget 2.366 uretmæssige opslag.

Og hvorfor i alverden er alarmen så ikke gået på det tidspunkt hos KMD?

Det er virkelig en sølle omgang bortforklaren af at sikkerheden sejler hos KMD.

4
9. oktober 2019 kl. 12:47

"kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann ..."</p>
<p>Det, synes jeg så godt nok, lyder voldsomt.....

Han har vel bare lavet et lille script for at se om man kunne slå flere op, og så ikke lige regnet med, at der overhovedet ikke var nogen former for stopklods, så man reelt bare ville have kunnet suge hele CPR registret.

Så længe han ikke har offentliggjort data, så har jeg lidt svært ved at se, at han har gjort noget seriøst forkert. Han meldte det jo til dem. Hvis han havde hentet hele CPR og lagt det på nettet og ringet til pressen var det vel noget lidt andet.

3
9. oktober 2019 kl. 12:36
2
9. oktober 2019 kl. 11:50

"kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann ..."</p>
<p>Det, synes jeg så godt nok, lyder voldsomt.....</p>
<p>

Det var måske det han havde behov for for at komme fra en mistanke om et åbent hul til en bekræftelse af hypotesen om et åbent hul. Hvis man har "erfaring" med at mistanker ikke tages alvorligt, så forsøger man måske at komme med noget mere håndfast - og bliver så mistænkt for hacking :-/

1
9. oktober 2019 kl. 11:41

"kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann ..."

Det, synes jeg så godt nok, lyder voldsomt.....