Blev anmeldt for hacking af KMD – nu er sagen droppet

Illustration: KMD
Der bliver ikke rejst tiltale mod Esben Warming Pedersen, der fandt et sikkerhedshul med ubegrænset adgang til cpr-numre i KMD's systemer.
27

Der bliver ikke rejst tiltale mod Esben Warming Pedersen, der i maj 2017 fandt et sikkerhedshul med ubegrænset adgang til cpr-numre i Frederiksberg Kommunes Pladsanvisningssystem, som udvikles og driftes af KMD.

Esben Warming Pedersen kunne via et Javascript, som benyttede en knap i systemet på websiden, tømme cpr-registeret for borgere, der er født på en bestemt dato, på »måske to et halvt minut.«

Læs også: Politianmeldt af KMD for hacking: »Jeg er totalt uskyldig«

Esben Warming Pedersen kontaktede lederen af Pladsanvisningen i Frederiksberg Kommune og fortalte om fejlen.

Efterfølgende kontaktede KMD direktøren hos Esben Warming Pedersens arbejdsgiver, Netcompany, og meddelte på denne facon, at KMD havde anmeldt ham til politiet for hacking.

Nu har politi og anklagemyndighed altså droppet sagen. Esben Warming Pedersens advokat har blandt andet gjort myndighederne opmærksomme på to tidligere sager i Holbæk og København, hvor tilsvarende anklager om hacking også blev droppet.

Tilbage i 2017 begrundede executive vice president i KMD Mette Louise Kaagaard anmeldelsen således:

»Vi vil jo rigtig gerne have, at folk kontakter os med fejl og mangler og eventuelle sikkerhedshuller. Så det tager vi rigtigt godt imod. Det, der er udfordringen her, er, at den pågældende vælger at gå skridtet videre, ikke bare at anmelde fejlen, men se, om man kan få flere oplysninger end det, systemet lægger op til. Vi synes, der er tale om hacking, og derfor vælger vi at anmelde ham til politiet, men det skal stå klart, at vi vil gerne have henvendelser fra borgere, kunder og andre, der finder fejl og mangler i vores system, så vi kan få det løst.«

Læs også: KMD forklarer hacker-anmeldelse: »Det var naturligt for os at kontakte vedkommendes arbejdsplads«

Overfor Version2 kommenterer KMD's kommunikationschef, Christoffer Hellmann, sagen således på mail:

»Når vi møder en – efter vores overbevisning – ikke lovlig tilgang og behandling af vores kunders data, så vil det være forbundet med vanskeligheder ikke at anmelde det. Det var vores opfattelse, at Esben Warmings metode til at gøre opmærksom på et sikkerhedshul hverken var lovlig eller på linje med god praksis i sådanne sager. Jeg kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann og fortsætter:

»Men vi tager naturligvis opgivelsen af sigtelsen til efterretning. KMD tog på bagkant af sagen sammen med IT-Branchen initiativ til at udfærdige et kodeks for indrapportering af sikkerhedsbrister, hvilket KMD er tilsluttet i dag. Vi har fortsat også en whistleblower-ordning, som man som borger kan benytte til at indrapportere eventuelle sikkerhedsbrister i vores systemer. Jeg vil gerne understrege, at KMD værdsætter at blive gjort opmærksom på sikkerhedsbrister, og der er god mulighed for at gøre det på en sikker og fuldt lovlig måde.«

Sponseret indholdTilmeld briefing: Få styr på din cloud transformation
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

"kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann ..."

Det, synes jeg så godt nok, lyder voldsomt.....

  • 2
  • 6
#2 Lars Bendix

"kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann ..."

Det, synes jeg så godt nok, lyder voldsomt.....

Det var måske det han havde behov for for at komme fra en mistanke om et åbent hul til en bekræftelse af hypotesen om et åbent hul. Hvis man har "erfaring" med at mistanker ikke tages alvorligt, så forsøger man måske at komme med noget mere håndfast - og bliver så mistænkt for hacking :-/

  • 21
  • 0
#3 Sune Marcher

Det var måske det han havde behov for for at komme fra en mistanke om et åbent hul til en bekræftelse af hypotesen om et åbent hul. Hvis man har "erfaring" med at mistanker ikke tages alvorligt, så forsøger man måske at komme med noget mere håndfast - og bliver så mistænkt for hacking :-/

Præcis.

Og med KMDs håndtering af sagen, kan de være sikre på at andre der finder fejl er mindre tilbøjelige til at rapportere til dem, i stedet for at droppe en weaponized 0-day.

  • 19
  • 0
#4 Christian P. Broe Petersen

"kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann ..."

Det, synes jeg så godt nok, lyder voldsomt.....

Han har vel bare lavet et lille script for at se om man kunne slå flere op, og så ikke lige regnet med, at der overhovedet ikke var nogen former for stopklods, så man reelt bare ville have kunnet suge hele CPR registret.

Så længe han ikke har offentliggjort data, så har jeg lidt svært ved at se, at han har gjort noget seriøst forkert. Han meldte det jo til dem. Hvis han havde hentet hele CPR og lagt det på nettet og ringet til pressen var det vel noget lidt andet.

  • 23
  • 0
#5 Christian Nobel

Jeg kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre

Når man betænker at KMD dårligt nok kan finde deres egen bagdel i en telefonboks, hvordan i alverden kan de så sige så eksplicit at han har foretaget 2.366 uretmæssige opslag.

Og hvorfor i alverden er alarmen så ikke gået på det tidspunkt hos KMD?

Det er virkelig en sølle omgang bortforklaren af at sikkerheden sejler hos KMD.

  • 16
  • 1
#7 Ivo Santos

Jeg kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann ...

Og!, hvad så, det vigtigste er vel at han kontaktede de relevante i stedet for at videregive informationaerne om hullet til enten kineserne eller russerne. KMD kunne have undgået al denne dårlige omtale hvis de i stedet for at havde sendt en gave og findeløn til vedkomne i stedet for at gå rettens vej. Jeg ser det desuden lidt som en glidebane mod amerikanske tilstande når folk bliver sagsøgt for nærmest ingenting. Hvad bliver det næste? Hvad vil f.eks. arbejdsgiverne sige til at alle jobsøgere som fik et afslag sagsøgte de pågældende arbedsjgivere for diskrimation, racisme eller lignende? KMD, kom nu ind i kampen og gør det rigtig, og det gælder også for alle andre virsomheder,

Jeg må tilstå at hvis man alligevel ender i retten uanset hvad man gør, så er det lige før jeg kunne finde på at videre give de relevante data til enten russerne eller kineserne for så ved man da at nogen kommer på overarbejde, uanset bødens størrelse eller længden af ens fængselstraf.

  • 9
  • 0
#8 Jarnis Bertelsen

Jeg vil gerne understrege, at KMD værdsætter at blive gjort opmærksom på sikkerhedsbrister

"Deres opkald er vigtigt for os, og vil blive besvaret hurtigst muligt" Hvis mit opkald var vigtigt for jer ville I ansætte flere til at tage telefonen. Hvis KMD virkelig værdsatte at blive gjort opmærksom på sikkerhedsbrister, ville de ikke sagsøge dem, der fandt dem. Handling taler mere end ord.

Disclaimer: Jeg er ansat i Netcompany men kender kun sagen fra pressen.

  • 22
  • 0
#9 Thomas Brodersen

Når man betænker at KMD dårligt nok kan finde deres egen bagdel i en telefonboks, hvordan i alverden kan de så sige så eksplicit at han har foretaget 2.366 uretmæssige opslag.

Måske fordi Det Centrale Personregister tager sig betalt for den slags opslag - KMD har sikkert bare undret sig over regningen.

  • 8
  • 0
#13 Anne-Marie Krogsbøll

Han har vel bare lavet et lille script for at se om man kunne slå flere op, og så ikke lige regnet med, at der overhovedet ikke var nogen former for stopklods

Jeg håber også, at det er noget i den retning - men i givet fald er KMD's "afsløring" af dette da i høj grad manipulerende og vildledende. Men det vil jo heller ikke komme som en overraskelse for nogen.

  • 4
  • 1
#14 Kenn Nielsen

Det mest utrolige i denne sag er ikke hvor inkompente KMD er, eller at de forsøgte at melde Esben til politiet frem for at takke ham. Men at KMD helt har ungået nogen for for staff i forbindelse med denne sag.

Jeg fik den tanke, at der - måske - ligger noget juridisk fikumdik bag.

IANAL...

Men GDPR var jo trådt i kraft i '17. Den blev bare ikke håndhævet. Hvis nu der blevet lavet en skueprocess ud af Esbens handlinger, så ville KMD jo skulle fortælle - til officielt referat i retten - at data ikke var passet ordentligt på....Og dermed vel egentligt gøre en GDPR-sag til en tilståelsessag.

K

  • 10
  • 0
#15 Kim Bjørn Tiedemann Blogger

Det, synes jeg så godt nok, lyder voldsomt.....

Det lyder også som mange forsøg på at påvise en sikkerhedsbrist. Det kunne være interessant at se, om hvilke fødselsdatoer, der er forsøgt med og om datoerne afspejler en form for systematik. Tænker dog at KMD nok havde meldt ud, hvis der fx. havde været forsøgt med Dronningen eller Kronprinsens fødselsdatoer...

Nuvel - det er jo også lige meget nu, hvor politiet har droppet sigtelsen. Tillykke til Esben!

  • 0
  • 3
#16 Morten Saxov

KMD, kom nu ind i kampen og gør det rigtig, og det gælder også for alle andre virsomheder,

En ting der måske er overset/glemt, er at KMD startede med at finde ud af hvem Esben var, og opdaget at han var ansat hos Netcompany og med høj sandsynlighed også at han var tilknyttet et projekt der arbejde med at erstatte et gammelt KMD system.

Så man kunne med lidt "sølvpapirshat" se det som et forsøg på at sætte en kæp i hjulet på at en konkurrent skal have success med at levere på den kontrakt de vandt over KMD.

Disclamer: Jeg er ansat i Netcompany, har dog ikke direkte kendskab til sagen gennem Netcompany, kun via medier.

  • 8
  • 0
#19 Malthe Høj-Sunesen

Så vidt jeg ved er det ikke databehandlers (KMD's) ansvar at oplyse de registrerede (borgerne) om, at der har været uretmæssigt adgang til deres data. Det ansvar påhviler dataejer som må være Frederiksberg Kommune.

Det her skete før GDPR trådte i kraft, så sandsynligheden taler for, at de 850 ikke har fået noget at vide.

  • 2
  • 0
#21 Christian P. Broe Petersen

Jeg faldt lige over det her, som forklarer sagen lidt nærmere

Kommunen tog det ikke seriøst

Han kontaktede straks kommunen for at gøre opmærksom på fejlen, men ifølge Esben Warming forstod de aldrig alvoren i problemet.

Kommunen bad ham om selv at undersøge problemet nærmere. Senere er det kommet frem, at KMD i første omgang ikke mente, at der var nogen fejl i systemet.

Warming oprettede derfor en kode, som automatisk hev CPR-numre ud af databasen, for at se, om systemet havde en indbygget stopklods og ville blokere ham efter nogle forsøg. Det gjorde det ikke.

https://www.dr.dk/nyheder/viden/teknologi/anklaget-cpr-tyveri-jeg-ville-...

  • 8
  • 0
#24 Kjeld Flarup Christensen

hvordan i alverden kan de så sige så eksplicit at han har foretaget 2.366 uretmæssige opslag.

De har vel haft en ganske fornuftig logging af brugeres adgang til persondata.

Eller også har de blot lavet lidt matematik. Der står at han fandt alle borgere der var født på en bestemt dato. Så mangler han de sidste 4 cifre, og sorterer man dem fra hvor checksum ikke passer, så ender man måske med 2.366

  • 2
  • 0
Log ind eller Opret konto for at kommentere

Datalæk og dårlig hygiejne: Kviktest-firma fyret efter skandalesager

0

Datalæk hos Erhvervsstyrelsen vokser: 150.000 CPR-numre spredt til 3000 brugere

3

Hemmelige adresser lækket i CVR: Kan være spredt til tilfældige virksomheder

12
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Whitepaper
Whitepaper
Digital transformation styrker den grønne omstilling
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder