Der bliver ikke rejst tiltale mod Esben Warming Pedersen, der i maj 2017 fandt et sikkerhedshul med ubegrænset adgang til cpr-numre i Frederiksberg Kommunes Pladsanvisningssystem, som udvikles og driftes af KMD.
Esben Warming Pedersen kunne via et Javascript, som benyttede en knap i systemet på websiden, tømme cpr-registeret for borgere, der er født på en bestemt dato, på »måske to et halvt minut.«
Esben Warming Pedersen kontaktede lederen af Pladsanvisningen i Frederiksberg Kommune og fortalte om fejlen.
Efterfølgende kontaktede KMD direktøren hos Esben Warming Pedersens arbejdsgiver, Netcompany, og meddelte på denne facon, at KMD havde anmeldt ham til politiet for hacking.
Nu har politi og anklagemyndighed altså droppet sagen. Esben Warming Pedersens advokat har blandt andet gjort myndighederne opmærksomme på to tidligere sager i Holbæk og København, hvor tilsvarende anklager om hacking også blev droppet.
Tilbage i 2017 begrundede executive vice president i KMD Mette Louise Kaagaard anmeldelsen således:
»Vi vil jo rigtig gerne have, at folk kontakter os med fejl og mangler og eventuelle sikkerhedshuller. Så det tager vi rigtigt godt imod. Det, der er udfordringen her, er, at den pågældende vælger at gå skridtet videre, ikke bare at anmelde fejlen, men se, om man kan få flere oplysninger end det, systemet lægger op til. Vi synes, der er tale om hacking, og derfor vælger vi at anmelde ham til politiet, men det skal stå klart, at vi vil gerne have henvendelser fra borgere, kunder og andre, der finder fejl og mangler i vores system, så vi kan få det løst.«
Læs også: KMD forklarer hacker-anmeldelse: »Det var naturligt for os at kontakte vedkommendes arbejdsplads«
Overfor Version2 kommenterer KMD's kommunikationschef, Christoffer Hellmann, sagen således på mail:
»Når vi møder en – efter vores overbevisning – ikke lovlig tilgang og behandling af vores kunders data, så vil det være forbundet med vanskeligheder ikke at anmelde det. Det var vores opfattelse, at Esben Warmings metode til at gøre opmærksom på et sikkerhedshul hverken var lovlig eller på linje med god praksis i sådanne sager. Jeg kan oplyse, at vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige CPR-numre,« siger Christoffer Hellmann og fortsætter:
»Men vi tager naturligvis opgivelsen af sigtelsen til efterretning. KMD tog på bagkant af sagen sammen med IT-Branchen initiativ til at udfærdige et kodeks for indrapportering af sikkerhedsbrister, hvilket KMD er tilsluttet i dag. Vi har fortsat også en whistleblower-ordning, som man som borger kan benytte til at indrapportere eventuelle sikkerhedsbrister i vores systemer. Jeg vil gerne understrege, at KMD værdsætter at blive gjort opmærksom på sikkerhedsbrister, og der er god mulighed for at gøre det på en sikker og fuldt lovlig måde.«
