Derfor blev Henrik Høyer frifundet

Ifølge Østre Landsret var der ikke tilstrækkeligt bevis for, at Henrik Høyer havde skaffet sig uretmæssig adgang til private oplysninger. Men flere spørgsmål står stadig ubesvarede.

Henrik 'Børnehavehackeren' Høyer blev frifundet i forrige uge i Østre Landsret på grund af manglende beviser på, at han skulle have skaffet sig uretmæssig adgang til sin søns børnehaves intranet, leveret af Infoba. Det viser et meget beskedent udskrift fra retssagen, som Version2 har fået adgang til.

Dommerne lagde primært til grund, at et vidne fra Rigspolitiet har berettet, at Henrik Høyer ikke fik adgang til serveren 'i den forstand, at han havde adgang til oplysninger eller ændrede noget på denne'.

Læs også: Softwareudvikler er tiltalt for hacking og hærværk mod it-system i søns børnehave

Denne konklusion har retten altså lagt sig op ad. I domsudskriften fremgår det, at Henrik Høyer efter rettens opfattelse 'ikke har skaffet sig adgang til oplysninger fra Infoba ApS’ informationssystem eller adgang til programmer, han ikke var berettiget til at tilgå, eller i øvrigt har foretaget ændringer i de oplysninger og/eller programmer, han var berettiget til at tilgå'.

Torben Væring fra Infoba ApS hævdede dog at kunne se, at Henrik Høyer forsøgte at få adgang til oplysninger om andres børn, men det har retten altså ikke medgivet. Der var ikke tilstrækkeligt bevis for, at Henrik Høyer var skyldig i overtrædelse af 'hackerparagraffen' og ej heller hærværksparagraffen, som han også var tiltalt efter.

Da Version2 i sidste uge bragte historien om frifindelsen, blev vi kontaktet af Infoba. De hævdede, at man på baggrund af dommen kunne konkludere, at der kun var ét sikkerhedshul i systemet, og at det ikke gav adgang til personlige oplysninger.

Det fremgår imidlertid ikke af den domsudskrift, som redaktionen har læst. Heri behandles spørgsmålet om sikkerhedshuller ikke i en grad, så det hverken kan be- eller afkræftes, hvor mange sikkerhedshuller det drejer sig om. Kun cross-scripting-metoden beskrives i udskriften. .

Læs også: Forældre fandt banale sikkerhedshuller i udbredt it-system til børnehaver

Henrik Høyer fastholder også, at han kunne skaffe sig adgang til andre børns personlige oplysninger.

Det mener han, fordi han testede sikkerheden ved at sætte en pling (') i URL'en, og på baggrund af fejlmeddelelsen fra serveren mener Henrik Høyer at kunne konkludere, at inputtet ikke blev saniteret.

»Og så kan jeg regne ud, at jeg nok kan gå skridtet videre.«

Det er derfor stadig Infobas ord mod Henrik Høyers.

»Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket«

Det primære fokus i under retssagen var hændelsen, hvor Henrik Høyer fik en pop-op-meddelelse til at komme frem på samtlige forældres intranet med beskeden: »Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket.«

Selv lagde Henrik Høyer ifølge domsudskriften vægt på, at han kun ønskede at få beskeden til at 'poppe op', og han har ifølge ham selv hverken ændret eller slettet data i systemet.

Det bekræftede vidnet fra Rigspolitet altså, og det var derfor, Henrik Høyer slap for straf.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (2)

Henrik Høyer

Nu er jeg jo ikke den eneste der har beskrevet hvordan de har fundet fejl i Infobas løsning (både "skift et tal i url'en fejl" og en lang række sql injection sårbarheder). Infoba har også offentligt erkendt disse.

Den eneste fejl jeg udnyttede (og var anklaget for at udnytte) var en graverende XSS fejl. Jeg skrev en simpel popup, men sårbarheden var en "game-over bug"

Lasse Offt

De amatører skal bare sluge deres dom råt og lære at kode et ordenligt produkt - og i øvrigt står ved det når det kommer frem at deres produkt er noget være lort. Det ved de jo udmærket godt selv at det er, men man vil hellere håbe på at vinde over dig i en sag end at indrømme dette. Det ved ALLE jo, så derfor er det stupidt af olympiske dimensioner at de vælger at føre en sag i stedet for bare at takke dig for dit uopfordrede ulønnede konsulentarbejde!

Log ind eller opret en konto for at skrive kommentarer

Partnernyheder

Welcome to a seminar on tools that help you become GDPR compliant!

Getting GDPR compliant by May 2018 implies a lot of activities covering the legal aspects, internal business processes, data management, and security technology.
28. feb 2017

Maja Rosendahl Larsen ansat hos Affecto

24. jan 2017

Introduction to Jedox – Affecto Seminar, Copenhagen

12. jan 2017