Derfor blev Henrik Høyer frifundet

17. marts 2017 kl. 15:123
Ifølge Østre Landsret var der ikke tilstrækkeligt bevis for, at Henrik Høyer havde skaffet sig uretmæssig adgang til private oplysninger. Men flere spørgsmål står stadig ubesvarede.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Henrik 'Børnehavehackeren' Høyer blev frifundet i forrige uge i Østre Landsret på grund af manglende beviser på, at han skulle have skaffet sig uretmæssig adgang til sin søns børnehaves intranet, leveret af Infoba. Det viser et meget beskedent udskrift fra retssagen, som Version2 har fået adgang til.

Dommerne lagde primært til grund, at et vidne fra Rigspolitiet har berettet, at Henrik Høyer ikke fik adgang til serveren 'i den forstand, at han havde adgang til oplysninger eller ændrede noget på denne'.

Denne konklusion har retten altså lagt sig op ad. I domsudskriften fremgår det, at Henrik Høyer efter rettens opfattelse 'ikke har skaffet sig adgang til oplysninger fra Infoba ApS’ informationssystem eller adgang til programmer, han ikke var berettiget til at tilgå, eller i øvrigt har foretaget ændringer i de oplysninger og/eller programmer, han var berettiget til at tilgå'.

Torben Væring fra Infoba ApS hævdede dog at kunne se, at Henrik Høyer forsøgte at få adgang til oplysninger om andres børn, men det har retten altså ikke medgivet. Der var ikke tilstrækkeligt bevis for, at Henrik Høyer var skyldig i overtrædelse af 'hackerparagraffen' og ej heller hærværksparagraffen, som han også var tiltalt efter.

Artiklen fortsætter efter annoncen

Da Version2 i sidste uge bragte historien om frifindelsen, blev vi kontaktet af Infoba. De hævdede, at man på baggrund af dommen kunne konkludere, at der kun var ét sikkerhedshul i systemet, og at det ikke gav adgang til personlige oplysninger.

Det fremgår imidlertid ikke af den domsudskrift, som redaktionen har læst. Heri behandles spørgsmålet om sikkerhedshuller ikke i en grad, så det hverken kan be- eller afkræftes, hvor mange sikkerhedshuller det drejer sig om. Kun cross-scripting-metoden beskrives i udskriften. .

Henrik Høyer fastholder også, at han kunne skaffe sig adgang til andre børns personlige oplysninger.

Det mener han, fordi han testede sikkerheden ved at sætte en pling (') i URL'en, og på baggrund af fejlmeddelelsen fra serveren mener Henrik Høyer at kunne konkludere, at inputtet ikke blev saniteret.

Artiklen fortsætter efter annoncen

»Og så kan jeg regne ud, at jeg nok kan gå skridtet videre.«

Det er derfor stadig Infobas ord mod Henrik Høyers.

»Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket«

Det primære fokus i under retssagen var hændelsen, hvor Henrik Høyer fik en pop-op-meddelelse til at komme frem på samtlige forældres intranet med beskeden: »Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket.«

Selv lagde Henrik Høyer ifølge domsudskriften vægt på, at han kun ønskede at få beskeden til at 'poppe op', og han har ifølge ham selv hverken ændret eller slettet data i systemet.

Artiklen fortsætter efter annoncen

Det bekræftede vidnet fra Rigspolitet altså, og det var derfor, Henrik Høyer slap for straf.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
3. maj 2017 kl. 14:02

Som jeg husker sagen har Henrik Høyer flere gange før efterprøvningen af XSS sårbarheden forsøgt at få Infoba i tale angående problemerne.

At virksomheden ikke udviser rettidig omhu i samarbejde med kunden og får rettet problemerne men istedet laver et udfald mod Henrik Høyer er både usmageligt og en ekstrem uheldig håndtering af udfordringerne. Det er da langt bedre at blive informeret om åbenlyse sikkerhedshuller af bekymrede borgere end at se dem udnyttet af reelle hackere.

Det her kunne være blevet håndteret ved ordentlig kommunikation med Henrik Høyer, eventuelt et tak og en besked om at man har bedt kunden prioritere løsningen af dette i en kommende release...

Synes der mangler en whistleblower ordning, der tager disse problemer seriøst. Vi har ikke brug for at sende virksomheder i gabestok, da de resulterer i at man går og putter med problemerne, men omvendt skal vi også kunne tage imod henvendelser fra whitehats uden at de straks derefter retsforfølges.

2
20. marts 2017 kl. 10:29

De amatører skal bare sluge deres dom råt og lære at kode et ordenligt produkt - og i øvrigt står ved det når det kommer frem at deres produkt er noget være lort. Det ved de jo udmærket godt selv at det er, men man vil hellere håbe på at vinde over dig i en sag end at indrømme dette. Det ved ALLE jo, så derfor er det stupidt af olympiske dimensioner at de vælger at føre en sag i stedet for bare at takke dig for dit uopfordrede ulønnede konsulentarbejde!

1
20. marts 2017 kl. 08:38

Nu er jeg jo ikke den eneste der har beskrevet hvordan de har fundet fejl i Infobas løsning (både "skift et tal i url'en fejl" og en lang række sql injection sårbarheder). Infoba har også offentligt erkendt disse.

Den eneste fejl jeg udnyttede (og var anklaget for at udnytte) var en graverende XSS fejl. Jeg skrev en simpel popup, men sårbarheden var en "game-over bug"