Derfor blev Henrik Høyer frifundet

henrik høyer
Ifølge Østre Landsret var der ikke tilstrækkeligt bevis for, at Henrik Høyer havde skaffet sig uretmæssig adgang til private oplysninger. Men flere spørgsmål står stadig ubesvarede.

Henrik 'Børnehavehackeren' Høyer blev frifundet i forrige uge i Østre Landsret på grund af manglende beviser på, at han skulle have skaffet sig uretmæssig adgang til sin søns børnehaves intranet, leveret af Infoba. Det viser et meget beskedent udskrift fra retssagen, som Version2 har fået adgang til.

Dommerne lagde primært til grund, at et vidne fra Rigspolitiet har berettet, at Henrik Høyer ikke fik adgang til serveren 'i den forstand, at han havde adgang til oplysninger eller ændrede noget på denne'.

Læs også: Softwareudvikler er tiltalt for hacking og hærværk mod it-system i søns børnehave

Denne konklusion har retten altså lagt sig op ad. I domsudskriften fremgår det, at Henrik Høyer efter rettens opfattelse 'ikke har skaffet sig adgang til oplysninger fra Infoba ApS’ informationssystem eller adgang til programmer, han ikke var berettiget til at tilgå, eller i øvrigt har foretaget ændringer i de oplysninger og/eller programmer, han var berettiget til at tilgå'.

Torben Væring fra Infoba ApS hævdede dog at kunne se, at Henrik Høyer forsøgte at få adgang til oplysninger om andres børn, men det har retten altså ikke medgivet. Der var ikke tilstrækkeligt bevis for, at Henrik Høyer var skyldig i overtrædelse af 'hackerparagraffen' og ej heller hærværksparagraffen, som han også var tiltalt efter.

Da Version2 i sidste uge bragte historien om frifindelsen, blev vi kontaktet af Infoba. De hævdede, at man på baggrund af dommen kunne konkludere, at der kun var ét sikkerhedshul i systemet, og at det ikke gav adgang til personlige oplysninger.

Det fremgår imidlertid ikke af den domsudskrift, som redaktionen har læst. Heri behandles spørgsmålet om sikkerhedshuller ikke i en grad, så det hverken kan be- eller afkræftes, hvor mange sikkerhedshuller det drejer sig om. Kun cross-scripting-metoden beskrives i udskriften. .

Læs også: Forældre fandt banale sikkerhedshuller i udbredt it-system til børnehaver

Henrik Høyer fastholder også, at han kunne skaffe sig adgang til andre børns personlige oplysninger.

Det mener han, fordi han testede sikkerheden ved at sætte en pling (') i URL'en, og på baggrund af fejlmeddelelsen fra serveren mener Henrik Høyer at kunne konkludere, at inputtet ikke blev saniteret.

»Og så kan jeg regne ud, at jeg nok kan gå skridtet videre.«

Det er derfor stadig Infobas ord mod Henrik Høyers.

»Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket«

Det primære fokus i under retssagen var hændelsen, hvor Henrik Høyer fik en pop-op-meddelelse til at komme frem på samtlige forældres intranet med beskeden: »Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket.«

Selv lagde Henrik Høyer ifølge domsudskriften vægt på, at han kun ønskede at få beskeden til at 'poppe op', og han har ifølge ham selv hverken ændret eller slettet data i systemet.

Det bekræftede vidnet fra Rigspolitet altså, og det var derfor, Henrik Høyer slap for straf.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (3)

Kommentarer (3)
Henrik Høyer

Nu er jeg jo ikke den eneste der har beskrevet hvordan de har fundet fejl i Infobas løsning (både "skift et tal i url'en fejl" og en lang række sql injection sårbarheder). Infoba har også offentligt erkendt disse.

Den eneste fejl jeg udnyttede (og var anklaget for at udnytte) var en graverende XSS fejl. Jeg skrev en simpel popup, men sårbarheden var en "game-over bug"

Lasse Offt

De amatører skal bare sluge deres dom råt og lære at kode et ordenligt produkt - og i øvrigt står ved det når det kommer frem at deres produkt er noget være lort. Det ved de jo udmærket godt selv at det er, men man vil hellere håbe på at vinde over dig i en sag end at indrømme dette. Det ved ALLE jo, så derfor er det stupidt af olympiske dimensioner at de vælger at føre en sag i stedet for bare at takke dig for dit uopfordrede ulønnede konsulentarbejde!

Alex Pedersen

Som jeg husker sagen har Henrik Høyer flere gange før efterprøvningen af XSS sårbarheden forsøgt at få Infoba i tale angående problemerne.

At virksomheden ikke udviser rettidig omhu i samarbejde med kunden og får rettet problemerne men istedet laver et udfald mod Henrik Høyer er både usmageligt og en ekstrem uheldig håndtering af udfordringerne. Det er da langt bedre at blive informeret om åbenlyse sikkerhedshuller af bekymrede borgere end at se dem udnyttet af reelle hackere.

Det her kunne være blevet håndteret ved ordentlig kommunikation med Henrik Høyer, eventuelt et tak og en besked om at man har bedt kunden prioritere løsningen af dette i en kommende release...

Synes der mangler en whistleblower ordning, der tager disse problemer seriøst. Vi har ikke brug for at sende virksomheder i gabestok, da de resulterer i at man går og putter med problemerne, men omvendt skal vi også kunne tage imod henvendelser fra whitehats uden at de straks derefter retsforfølges.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017

Xena - an innovative force in testing next-generation communications technology

22. aug 2017