'Børnehavehackeren' frifundet i Landsretten

Dommen gælder jo kun for halvdelen af landet, og er meget principielt ?

Selv om det har meget personlig omkostninger for Henrik.

Men stadig tillykke, det er ud over en personligt, men også en vigtigt sejre for os som samfund. Tak for at du ville tage kampen.

Desværre jo, ikke kun programmører men alle der bare fiser derudaf og implementerer funktionalitet og med tidspres behændigt undlader at tage stilling til de mere kedelige aspekter af systemudvikling og projektarbejde..

Nu kender jeg ikke infoba's løsning, men hvis det er en løsningen hvor kommunen/institutionen køber et stykke software, så vil jeg mene at de aldrig kan dømmes efter GDPR, da de ikke beskæftiger sig med persondata af nogen art, de beskæftiger sig kun med software udvikling.

Har selv meldt sikkerhedsfejl 2 gange. De ene blev jeg ringet op af en meget sur mand der truede med politianmdelse, og anden gang kom der en takke-mail fra en lead developer.

Hey, jeg fik et "Send en mail. Så kigger vi på det imorgen. Der er ingen med IT kendskab på arbejde før kl. 9" svar fra en hotline... Men ok.. det var også kun fortrolige data...

Påpeget adskillige sites om xxs, uden at opnå påskønnelse i den art så det gider jeg ikke bruge tid på.

GDPR er en forordning for EU og ikke et direktiv, og det gælder pr. Definition for Danmark. Det er også endeligt vedtaget og gældende, men træder først i kraft i maj 2018. Der er en del hvor de enkelte nationalstater har en vis frihed i enkelte paragraffer. Men den er vedtaget - også i Danmark.

Den mest interessante del de danske politikere skal tage stilling til er hvorvidt offentlige dataejere / databehandlere kan idømmes på samme måde som private. Så hvis man ønsker at offentlige chefer skal tage vores data mere alvorligt end de gør i dag - Så skal man tage fat i sin repræsentant på tinge og hjælpe vedkommende til at træffe den rigtige beslutning. Nogen vil måske indvende sådanne bøder er at flytte penge fra en kasse til en anden - jeg vil dog tro at en bøde til en kommune, af de størrelser GDPR lægger op til, vil sikre en hvis fokus på sikkerheden.

"Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket." er ikke blot forkert, men kan gøre almindelige mennesker ret bekymrede

Hvordan i alverden kan en leverandør levere et system med så åbenlys og kendt fejl? Og er de ikke erstatningspligtige overfor kunden?

Og kan vi så komme tilbage til starten (udover at landsretten burde have afvist at føre sagen):

Hvordan i alverden kan en leverandør levere et system med så åbenlys og kendt fejl? Og er de ikke erstatningspligtige overfor kunden?

Det er fint at Landsretten har frikendt Henrik, og der er ingen tvivl om at Infoba er nogle klaphatte der har håndteret sagen elendigt.

Når det så er sagt, så har Henrik altså også opført sig uprofessionelt, tangerende barnligt. Det er ikke god stil at udnytte XSS på den måde han har gjort det, specielt ikke sitets målgruppe taget i betragtning - "Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket." er ikke blot forkert, men kan gøre almindelige mennesker ret bekymrede.

Infoba påstår de ikke er blevet informeret om XSS'en. Hvis det er sandt, har jeg ikke ret meget til overs for Henriks opførsel. Hvis de lyver (hvad jeg ikke anser for umuligt) og har ignoreret henvendelse om XSS er det en anden situation - men burde stadig have været håndteret anderledes.

Når GDPR træder i kraft vil den opførsel blive straffet hårdt.

Nej det bliver ikke jf. GDPR. Det offentlige i dette tilfælde en kommune (som er dataejer) kan ikke straffes for overtrædelse af GDPR! Det ligger indenfor GDPR at nationalstaterne selv kan bestemme om de vil straffe "sig selv". Det har justitsministeriet for længst taget stilling til at vi IKKE skal i DK.

Det lød det ikke til ifølge datatilsynet selv, det er endnu et af de områder hvor tingene ikke er klarelagt endnu, til hverken den ene eller anden side.

Landsretsdomme fastlægger, hvad der er sket, og den del kan ikke ankes. Denne her sag drejer sig bare ikke om, hvad der er sket. Den drejer sig mere om, hvad Henrik Høyer har gjort. Den drejer sig om, hvor vidt det er lovligt, hvad han har gjort, og det kan ankes til højesteret.

Endelig bliver det 'lovligt' at finde og påtale svagheder i dårligt implementeret webbaserede systemer, hvor sikkerhed ikke er tænkt med fra første færd. Nu mangler vi blot en vejledning i og en generel fælles forståelse af, hvordan man - på en god måde - skal gøre leverandører opmærksom på svagheder uden at blive sagsøgt. Målet må være, at vi hjælper hinanden med at beskytte vores data, og ikke at vi afsøger huller i ond tro.

Hvem var så tossede, at man kunne lade sagen gå så langt og bruge så mange ressourcer på noget så fjollet. Hvor er den sunde fornuft henne? Det smager lidt for meget af magthavere vil have ret - det gik så ikke denne gang. men med teknikaliteter for en dommer kan man aldrig vide. venter spændt på dommernes konklusion!! Husk det nu - de ter der tæller en anden gang.

I forlængelse: Kommunes aftale med Infoba som databehandler bør naturligvis naturligvis fremadrettet omfatte en klausul om at Infoba skal overholde GDPR, og eventuelt skal betale bod hvis de ikke gør det. Dataejer er forpligtet til at sikre sig, at databehandler lever op til kravene og dokumentere det, men det har kommunen hverken ressourcer eller kompetencer til, og de har jo defacto "straffrihed". Vil der være et krav om bod? Måske, men det vil sikkert forhøje prisen, og igen har kommunen "straffrihed", altså intet i klemme, så de vil sikkert tænke mere på prisen.

Nej det bliver ikke jf. GDPR. Det offentlige i dette tilfælde en kommune (som er dataejer) kan ikke straffes for overtrædelse af GDPR! Det ligger indenfor GDPR at nationalstaterne selv kan bestemme om de vil straffe "sig selv". Det har justitsministeriet for længst taget stilling til at vi IKKE skal i DK. Altså er det offentlige undtaget for sanktioner ifm GDPR. De skal naturligvis følger loven, men det har bare ingen strafferetslige konsekvenser hvis de ikke gør det.

Sorry mente 4½ ud af de 35 i datatilsynet, ikke tilsyns afdelingen*

Var til et event hvor Lena Andersen fra Datatilsynet talte om GDPR, ud af 35 i tilsyns afdelingen, ville de have 4½ medarbejder til at føre tilsyn med GDPR, de har sat 2 årsværk af til det, lovgivningen i DK (der er en masse ud over selve forordningen) er ikke på plads endnu, måske når folketinget det inden forordningen træder i kraft, måske ikke, ingen ved rigtigt noget, penge og ekstra ressourcer har de ikke rigtigt set skyggen af, betænkningen til forordningen er ikke færdig endnu.

Alt i alt, tydeligt de slet slet ikke får ressourcerne til at håndtere det her ordentligt, det er meningen de skal være mere proaktiv til at kontrollere virksomhederne, men de har reelt kun ressourcer til at reagere hvis nogen bringer en sag til dem.

Men derudover enig, med GDPR vil det koste infoba kassen, hvis noget lignende sker, og datatilsynet rent faktisk har ressourcerne til at håndtere GDPR sagerne.

... for at det her skete i 2015 og ikke i efter 25. Maj 2018. Når GDPR træder i kraft vil den opførsel blive straffet hårdt.

"Anklagemyndigheden havde krævet Henrik Høyer fængslet i 10 dag, men det krav var dommerne i højesteret altså ikke enige i."

Glædeligt!

Jeg oplevede for snart 20 år siden, at man havde kørt en rundspørge på mit gymnasium med den klare besked, at data ville blive anonymiseret og behandlet fortroligt. Jeg har glemt hvad det handlede om. En del tid senere skal jeg "et niveau op" på skolens dybt nestede hjemmeside (med dårlig brugergrænseflade), og sletter derfor det sidste led i URL'en jeg står på. Resultatet var en liste over filer i det pågældende dir. Og der lå naturligvis - en Access-database med de førnævnte fortrolige data i. Ikke anonymiseret.

Tilfældigvis er den første lærer jeg får fat i underviser i erhvervsret. Og - uden at kende alle sagens kendsgerninger - konstaterer hun at det er "hacking", dog uden at der skete mere. Jeg sagde ikke noget til IT-afdelingen oven på den smøre. Hun var iøvrigt lærebogsforfatter.

Hun/De gjort det klart at deres system var sikkert og han var en ond mand.

Deres system var usikkert, og han var en god mand.

Hvis systemet var sikkert, kunne man ikke bryde det ved bare at rette et tal i en URL. Der burde være en straf for, at forvalte andre børns sikkerhed så ringe.

Ærgeligt jeg for nyligt slettede min mail korrespondance med Nicoline Mygind, hvor jeg kraftigt kritiserede Infoba for deres håndtering af sagen og hvor forkert og uvidende det er lægge sag an mod en så kaldt white hat hacker. Hun/De gjort det klart at deres system var sikkert og han var en ond mand. De burde i stedet takke manden for det arbejde de ikke selv evner at udføre. Jeg kunne godt tænke mig at have skrevet tilbage, "Jeg fik ret, så kan i lære det"

Så, hvis du læser med, Nicoline Mygind, så kan i lære det!

Man burte vel også sende et tilløkke til Infobas for at landsretten har redet dem ud af den situation deres eget snæversynede, arrogante og totalt urimelige opførsel skabte.

Man kunne håbe anderledes - men det er for naivt, som jeg husker deres uprofessionelle og velnok paniske optræden.

Det ville være dejligt hvis Version 2 ville skrive om årsagen til frifindelsen.

Selv mener jeg det er dejligt at han blev frifundet. Har selv meldt sikkerhedsfejl 2 gange. De ene blev jeg ringet op af en meget sur mand der truede med politianmdelse, og anden gang kom der en takke-mail fra en lead developer.

Min strategi har begge gange været at jeg havde en mistanke som jeg gjorde det absolut minimale for at bekræfte. Derefter har jeg kontaktet leverandøren af softwaren. Jeg ville ikke turde gå så hårdt til værks som i denne sag, fordi jeg ikke gider risikere, hvad en idiot med en advokat kan finde på.

Man burte vel også sende et tilløkke til Infobas for at landsretten har redet dem ud af den situation deres eget snæversynede, arrogante og totalt urimelige opførsel skabte.

;-)

Tilbage i 2015 sagde Infobas produktchef, Torben Væring til Version2, at »Jeg bliver nødt til som it-ansvarlig at tage det seriøst, når vores system bliver hacket,«.

Det må siges at være den helt forkerte måde at tage det seriøst på. Håber at Torben Væring nu har fået en gevaldig lærestreg og har lært at sikre hans programmer fremadrettet....

Til lykke med dommen, det var godt at få prøvet dette ved en højere retsinstans end byret (de har før haft problemer med den slags sager, fx https://www.computerworld.dk/art/26013/mild-dom-til-valus-hacker-to-frifundet)

For nylig opdagede jeg et lignende problem i et betalingssystem, checkede hurtigt om det var korrekt (det var det), og overvejede seriøst om jeg turde informere leverandøren. Jeg valgte at skrive til dem, og blev sat i kontakt med deres IT-chef - som takkede mange gange for informationen, konstruktivt spurgte til et par detaljer, og gav et par fribilletter til et af stedets arrangementer som tak for hjælpen. Hvis bare alle leverandører/IT chefer havde den attitude, det var en meget positiv oplevelse.

Men nu er der i det mindste en landsretsdom for at man ikke bliver dømt for hacking hvis man prøver at hjælpe, det er da et skridt i den rigtige retning.

Hvem kan store et script i version2.dk kommentarfelt?

P.S. kan godt lide overskriften - Børnehavehackeren - minder lidt om Børnelokkeren

Glædeligt når fornuften sejre :)

Kære Henrik!, jeg får næsten lyst til at sige tillykke med sejren i landsretten!!..

Det er måske ikke helt det samme men hvis Henrik havde tabt i landsretten så burde jeg vel også straffes for ved et uheld og have brugt en tidligere vaskemaskine i den SAB / KAB afdeling jeg bor i.