KMD forklarer hacker-anmeldelse: »Det var naturligt for os at kontakte vedkommendes arbejdsplads«

KMD forklarer, hvorfor man har valgt at anmelde Esben Warming Pedersen, der har fundet et sikkerhedshul i en af virksomhedens systemer.

Direktør i KMD Mette Louise Kaagaard mener, at det er berettiget at politianmelde Esben Warming Pedersen. Det er sket, efter at han har gjort opmærksom på et sikkerhedshul i Frederiksberg Kommunes pladsanvisningssystem, som KMD står bag.

Hos KMD mener man, Esben Warming Pedersen har 'indsat scripts i koden'. Esben Warming Pedersen mener selv, han blot har gjort opmærksom på et sikkerhedshul.

»Jeg automatiserer noget, jeg kunne have gjort i hånden,« har han tidligere forklaret til Version2.

Her forklarer Mette Louise Kaagaard nærmere om baggrunden for politianmeldelsen.

»Vi er blevet kontaktet om sikkerhedshullet. Vi havde fået kontakten fra Frederiksberg Kommune, og så er der dukket en video op fra Danmarks Radio på vores bord den 8 juni. Det, vi kan se, er, at borgeren her ud over at konstatere, at der et sikkerhedshul, så vælger han at gå ind bag systemet og indsætte scripts i koden …«

Han er ikke inde i jeres system - han bruger et ajax-kald?

»Og så sætter han et script ind …«

Scriptet er på hans egen computer, ikke inde i jeres system?

»Via det script får han adgang til flere informationer, end du og jeg ville kunne få adgang til.«

Han kunne stadig putte numre ind manuelt?

»Vi betragter det, der er sket, som hacking, og det er derfor, vi har anmeldt ham til politiet.«

Hans pointe er, at han ikke behøvede noget script, han kunne bare indtaste et, to, tre, fire numre...?

»Det er korrekt, at når man indtaster et gyldigt CPR-nummer i feltet, så kan man få et navn ud.«

Læs også: Politianmeldt af KMD for hacking: »Jeg er totalt uskyldig«

Hvorfor ringer I til direktøren i den virksomhed, Netcompany, han arbejder i, og fortæller, at medarbejderen er politianmeldt?

»Det gør vi, fordi vi undrer os over, at denne her person har gjort de her ting. Derfor ringer vi til hans arbejdsplads for at få en dialog, om det er noget, de kender til. Og vi har en fin snak med dem og ikke nogen anledning til at tro, at de har noget med det at gøre.«

Hvis det var en borger, som var ansat i en anden virksomhed end Netcompany, ville I så også have ringet til den arbejdsplads?

»Hvis vi havde held til at finde ud af, hvor vedkommende var ansat, vil jeg ikke afvise, at vi kunne have gjort det. Det var naturligt for os at kontakte vedkommendes arbejdsplads for at høre, om det var noget, de kendte til.«

Så I kontaktede Netcompany for at høre, om de var en del af det påståede hackerangreb?

»Vi er i det her marked sammen, og vi synes, man opfører sig på en måde, hvor vi også selv ville være blevet glade for at få en henvendelse, hvis det var en af vores medarbejdere.«

Hvad vil du gætte på, at Netcompany skulle kunne bruge den oplysning til?

»Jeg vil ikke gætte på noget.«

Jeg forstår stadig ikke helt, hvorfor I ringer til Netcompany?

»Jeg synes, jeg har svaret på spørgsmålet.«

Ville det ikke havde været mere på sin plads at kvittere med en flaske vin til denne person, der finder et sikkerhedshul, der har været der i 12 år, i stedet for at politianmelde vedkommende?

»Vi vil jo rigtig gerne have, at folk kontakter os med fejl og mangler og eventuelle sikkerhedshuller. Så det tager vi rigtigt godt imod. Det, der er udfordringen her, er, at den pågældende vælger at gå skridtet videre, ikke bare at anmelde fejlen, men se, om man kan få flere oplysninger end det, systemet lægger op til. Vi synes, der er tale om hacking, og derfor vælger vi at anmelde ham til politiet, men det skal stå klart, at vi vil gerne have henvendelser fra borgere, kunder og andre, der finder fejl og mangler i vores system, så vi kan få det løst.«

Er I ikke bange for, at folk mister lysten til at anmelde den slags fremover?

»Det håber vi ikke. Det har i hvert fald ikke været intentionen på nogen måde,« slutter Mette Louise Kaagaard.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (42)

Kommentarer (42)
Peter Hansen

Godt fastholdt, Tania! Og det er jo åbenlyst forkert, når KMD-direktøren siger, at han "kunne få adgang til flere data end du og jeg".

Dan Storm

> »Det er korrekt, at når man indtaster et gyldigt cpr.-nr i feltet, så kan man få et navn ud.«

Hvis der ikke skal mere til for at hive personfølsomme oplysninger ud, og de endda er klar over at det fungerer på den måde, så må det da så absolut være noget Datatilsynet burde kunne tage sig af - det må da være et klart lovbrud at være så sjusket med sikkerheden af opbevaringen af personfølsomme oplysninger.

René Nielsen

Hvorfor ringer I til direktøren i den virksomhed, Netcompany, han arbejder i, og fortæller, at medarbejderen er politianmeldt?

Hvorfra ved KMD overhoved, at han er ansat Netcompany?

Og uden at være belastet af viden om udover det som står på V2, så har han ikke i strafferetlig henseenderne begået hacking.

Det afgørende er ikke om han bruger et script, men om scriptet får "andre oplysninger ud" end dem som ville alligevel ville være blevet vist hvis et menneske tastede oplysningerne.

Mads Bendixen

Hvis der ikke skal mere til for at hive personfølsomme oplysninger ud, og de endda er klar over at det fungerer på den måde, så må det da så absolut være noget Datatilsynet burde kunne tage sig af - det må da være et klart lovbrud at være så sjusket med sikkerheden af opbevaringen af personfølsomme oplysninger.


Jeg kender ikke pladsanvisningen, men andre steder lignende er muligt, kræver et login f.eks. med Nemlogin, for at få den mulighed. Dernæst er anbefalingerne, at man f.eks. sætter en stigende forsinkelse ind mellem hvert forsøg. Det er også en god ide at logge opslagene.
Grunden til at navnet vises, er for verifikation, af at den talkombination (cpr-nr) man har indtastet er korrekt. Hvis navnet Hans Hansen dukker frem, men det er Jens Jensen du ville gøre noget med, så kan du spotte der er noget galt.

Jens Beltofte Sørensen

> »Via det script får han adgang til flere informationer, end du og jeg ville kunne få adgang til.«

Ja, direktøren fra KMD kan jo sikkert ikke få flere informationer end dem der vises på skærmen når hun klikker rundt med musen, men hun virker også rimelig naiv.

Det er jo netop hendes problem, at deres system er designet, så det kan give adgang til flere informationer end højest nødvendigt. At et service kald kan vise flere informationer end brugeren ser på normal vis på skærmen, er da ikke Esben Warming Pedersens fejl, men 110% KMDs. Han påpeger det blot...

Jens Beltofte Sørensen

Hvorfra ved KMD overhoved, at han er ansat Netcompany?

Mon ikke Frederiksberg Kommune har oplyst Esben Warming Pedersens navn til KMD? Og der skal efterfølgende ikke meget søgen til for at finde ud af Esben arbejder hos Netcompany.

Anders Lorensen

Er I ikke bange for at folk mister lysten for at anmelde den slags fremover?

»Det håber vi ikke. Det har i hvert fald ikke været intentionen på nogen måde,« slutter Mette Louise Kaagaard.

Næste gang må man håbe det bliver anmeldt til datatilsynet, eller direkte til KMD som en anonym henvendelse med en bitcoin konto hvor betalingen for takke-vinen og tips kan overføres til. (måske evt. med en påmindelse omkring de nye EU regler, og bødestørelserne)

Iøvrigt vildt at et firma som har så meget med personfølsomme data at gøre, tager datasikkerhed så useriøst.

Chresten Christensen

hvorfor er KMD så aktive når det kommer til at forsvare deres software kode ?
Hvorfor ikke bare være glade for at nogen har fundet en fejl i kode, og så få legelighed til at rette det.
1) Er det fordi de ved det er noget lort.
2) Der er andre motiver end bare at lever korrekt kode til brugerne.
3) De har andre kontrakter med andre, som forhindre dem i at lever korrekt kode til brugerne
4) Deres forretnings koncept, er sådan at der er andre interesser involveret.

Dette er bare nogle få spørgsmål, jeg som undersøg ville stille mig selv hvis jeg, som politi, skulle undersøge, hvis nogen anmeldte hacking....

Peter Christiansen

Det er det latterligste at de ikke kan se forskel på et exploit pga. et dårligt api og et exploit ved at man har adgang til backend koden direkte, som personen IKKE havde brug for, for dette exploit.

KMD tag et par friske indåndinger og kig tingene igennem internt, spørg nogen i organisationen før i melder ud og politianmelder.

Per Clausen

Man kan bestemt diskutere berettigelsen af Esben Warming's (EW) script for at demonstrere omhandlede svaghed i KMD-systemet. Under alle omstændigheder var denne del unødvendig (men sikkert ret fristende for en person med EW's faglighed - under barselsorlov ...). Det tjente desuden alene som en dramatisering af svagheden og de potentielle skadevirkninger ved den.

Langt mere problematisk fremstår imidlertid KMD-direktøren Mette Louise Kaagaard's egen håndtering af sagen og især initiativet med at kontakte EW's arbejdsgiver. KMD-direktørens begrundelser ovenfor om at kontakte EW's arbejdsplads fremstår famlende, konstruerede og utroværdige, samt ekstremt usympatiske.

Ydermere svækker det KMD-direktørens troværdighed angående politianmeldelsen, at hun over hovedet kontaktede EW's arbejdsplads, for hávde der vitterlig været indikationer på hacking, så kunne henvendelsen til arbejdspladsen potentielt have tjent som advarsel til EW og fået ham til at bortskaffe beviser - vel at mærke, hvis han havde været skyldig i hacking eller lignende ulovligheder (hvilket jeg ud fra det foreliggende bestemt ikke mener, at han har gjort sig skyldig i). KMD-direktøren må bestemt have kunne forudse, at dispositionen potentielt kunne have svækket "sagen" betydeligt - eller forstandige medarbejdere tæt på hende kunne og burde have fortalt hende det.

Tilbage henstår således alene en mistanke om, at KMD-direktørens ageren simpelthen er udslag af gemen hævngerrighed, som meget nemt kan fortolkes hen i retning af, at hun havde til hensigt at skade EW personligt og jobmæssigt. Derudover viser det hos KMD-direktøren en ekstremt uklædelig følelse af magtfuldkommenhed, ringe dømmekraft og mildt sagt halvlabilt lederskab.

KMD-direktør Mette Louise Kaagaard's henvendelse til EW's arbejdsgiver var decideret tølperagtig.

Casper Pedersen

Mon ikke de fleste nu har lært at hvis man finder et sikkerheds hul i et muligt KMD system, så er det bedste man kan, er at sælge informationerne, da hvis man opføre sig pænt bliver man anmeldt til politiet....

Michael Cederberg

Esben burde ikke have puttet skriptet ind. Det var dumt fordi det var unødvendigt. Jeg har dog svært ved at se det som ulovligt men måske på kanten. Et godt forsvar for Esben er at KMD havde sagt at der ikke var nogen fejl da han anmeldte det i første omgang. Derfor kan han have været i god tro med sin handling. Ydermere, så viste KMD med deres udtalelse at de ikke tog henvendelsen alvorligt og man kan derfor sige at Esbens inddragelse af DR var af nød. Og at han var nødt til at overbevise DR om hvor seriøst problemet var. Jeg tro Esben har en god sag.

KMD direktøren er derimod et ægte fjols. Hun virker fornærmet over at nogen har fundet fejl på deres system. Det er ganske klart at Esben ikke var ude på at tilgå information som han ikke var berettiget til. Han var blot ude på at vise at det var muligt. Hvis direktøren havde holdt krudtet tørt og erkendt deres multiple fejl, så havde KMD fået lidt goodwill for den afsluttende håndtering.

Det kan nås endnu. KMDs kommunikationsafdeling burde sætte sig sammen i morgen tidligt og se på deres muligheder. Den eneste de har som har positivt udfald er at erkende at deres reaktioner – også nu i 3. omgang – var automatreaktioner. De skulle erkende at det eneste der har lidt skade er KMDs rygte og at resultatet har været et mere sikkert IT system.

Kenn Nielsen

KMD-direktør Mette Louise Kaagaard's henvendelse til EW's arbejdsgiver var decideret tølperagtig.

Ja, men vi hører ikke så meget om Esben's chef.
Han har jo - åbenbart - heller ikke været af den opfattelse at KMD-direktørens opførsel er kritisabel.

Hvilket fortæller mig at dén slags opførsel - fra direktør til direktør - ikke er usædvanlig.
Og skal vi fortsætte tankerækken; kan man frygte at pressionen blev udført velvilligt af Esben's chef.

K

Allan S. Hansen

Ja, men vi hører ikke så meget om Esben's chef.
Han har jo - åbenbart - heller ikke været af den opfattelse at KMD-direktørens opførsel er kritisabel.

Hvilket fortæller mig at dén slags opførsel - fra direktør til direktør - ikke er usædvanlig.
Og skal vi fortsætte tankerækken; kan man frygte at pressionen blev udført velvilligt af Esben's chef.

Ikke helt....:

http://nyheder.tv2.dk/business/2017-06-15-fandt-hul-i-sikkerheden-hos-it...

Esben Warmings chef hos Netcompany, André Rafal Rogaczewski, bakker op om sin kollega.

  • Hvis det var mig, som var it-leverandør på sådan en løsning, ville jeg sende en gavekurv til ham og sige tak, og så ville jeg i øvrigt rette henvendelse til mine kunder og undskylde for, at der har været et sikkerhedshul, siger han til

Om det så reelt er tilfældet eller blot noget han siger lige nu - det ved vi naturligvis ikke, men han står nu i alt fald offentlig frem og støtter sin medarbejder.

Kristian Christensen

Det kan jeg kun se i en retning på den måde de behandler folk der finder så graverende fejl så.

Enten direkte anmeldelse til datatilsynet. Eller hvis de er mindre hæderlige så til steder der godt ved hvordan man belønner folk der finder huller.

Gert G. Larsen

Endelig en artikel på Version2, hvor journalisten tør spørge lidt kritisk, og bliver ved, og har et nogenlunde teknisk fundament. FEDT!!
Fortsæt endelig med det Version2!

Kontaktede Esben egentlig KMD først, altså før han gik til medierne?

Lasse Th

ENIG! Det godt at se der bliver gået til kniven her.

Der var en tidligere kommentar om at "Mette Louise Kaagaard nærmest virker fornærmet over at nogen har fundet fejl på deres system." Det synes jeg bare passer SÅ godt på hele KMD's oldnordiske tankegang - De af os der, desværre, har forsøgt at samarbejde med KMD i flere projekter, vil kunne nikke genkendende til deres gamle metoder og holdninger.

Jeg er ikke ked af at se den dinosaurus dø... de har allerede kostede danmark alt for mange penge gennem tiden!

Jacob Saaby Nielsen

Hvorfra ved KMD overhoved, at han er ansat Netcompany?

Fordi han selv optog en video af det han gjorde, sendte det til Frederiksberg Kommune for, at høre dem ad, om det nu også kunne være rigtigt, at det var sådan det skulle være.

Han har været helt åben i hele processen, som jeg tolker det:

http://www.dr.dk/nyheder/penge/gjorde-opmaerksom-paa-cpr-hul-nu-bliver-h...

Denny Christensen

At de kontakter en persons arbejdsgiver giver ingen mening for mig. Hvis han nu arbejdede som uddeler i en SuperBrugs, ville de så gøre det samme? Eller mistænker de ham reelt for at udføre sine handlinger på vegne af sin arbejdsgiver? Det er da soleklart alene for at sætte EW i et dårligt lys og dermed få ham til at indstille evt. andre forsøg i andre systemer.

At CPR nr fremgår som klartekst nogen steder er bare et no go - basta slut punktum færdig. Kryptering er opfundet for mange hundrede år siden og virker fint på en elektronhjerne... og hvad sådan en maskine ellers igennem tiden har heddet.

Ansvar... kom nu ind i kampen, kære leverandører. Få lavet nogle regler og nogle kontroller der sikrer sådanne basale fejl ikke kan begås og følg dem så. Så kan SQL injection, felter i klartekst og andet godt luges ud allerede på programmerings tidspunktet. Det er sjusk ikke at have styr på den slags.

Datatilsynet. De kan ikke gøre så meget for de har dårligt nok ressourcer til at køre sig selv som en administrativ enhed. De personer i Datatilsynet jeg har mødt vil hellere end gerne være mere aktive og proaktive, men det er der ikke ressourcer til. Vil GDPR hjælpe? Der skal nok komme flere ressourcer til, men jeg ser ikke umiddelbart at der kommer ressourcer nok til at fange 'alt'.

Endelig... herfra en opfordring fra mig til IKKE at kontakte leverandør af et usikkert system. Saml info og send til et medie og kræv at blive anonym kilde. Med kildebeskyttelse kan vi både få fundet og rapporteret huller og beskytte dem der finder dem mod repressalier.

Nicolai Heilbuth

Nu sidder vi her som IT fagfolk og diskutterer motiver (KMDs og deres direktørs), og snakker om personlige motiver som hævngerrighed osv.

Mon ikke det er mere simpelt end som så. Hvis man træder et skridt tilbage og ser på KMD, som er ejet af en international kapitalfond. Dvs. KMDs fornemmeste opgave er at tjene penge, ikke udvikle god software, sikre vores persondata eller behandle hjælpsomme udviklere som EW ordentligt.

Når KMDs direktør agerer som hun gør er det formentlig med udgangspunkt i en strategi for hvordan man håndterer denne slags sager mest økonomisk. Når man ved at man har systemer kørende (og måske under udvikling) hvor denne slags "problemer" kan opstå, så er man nok kommet frem til at den bedste strategi på langt sigt er en skræmmekampagne. Hvis man som stor farlig virksomhed kan kaste sig over personer som EW, skræmme mest muligt (kontakte arbejdsgiver, politianmelde osv.), så vil det i fremtiden afholde lignende personer fra at henvende sig og/eller kontakte medierne. Så er problemet jo "løst" fra KMDs synspunkt, og antallet af lignende fremtidige "problemer" vil falde.

Den myndighed der skal sørge for at KMD lukker sikkerhedshuller og ikke skyder budbringeren, Datatilsynet lader jo så til at være total amputeret.

Det er sørgeligt, og det rammer i den grad vores faglige stolthed og retsfølelsen (hvilket antallet af kommentarer på denne artikel beretter om).

Disclaimer: ovenstående er selvfølgelig rent gætværk fra min side.

Stig Robertsen

Her må det være på tide at Datatilsynet går ind i sagen, eller nogen anmelder det til Datatilsynet, og de forlanger logs for de forgangne 12 år på hvem der har været på og hvad de har søgt. Derefter kan de præsentere KMD for en forventet regning hvis person data loven var gældende i hele perioden - så bliver der nok sat ressourcer af til at lukke den slag huller - og ikke politianmelde borgere for indsigt.

Dennis Pedersen

Han er ikke inde i jeres system - han bruger et ajax-kald?
»Og så sætter han et script ind….«
Scriptet er på hans egen computer, ikke inde i jeres system?
»Via det script får han adgang til flere informationer, end du og jeg ville kunne få adgang til.«

»... hvor vi også selv ville være blevet glade for at få en henvendelse, hvis det var en af vores medarbejdere.«

Burde nogen så ikke ringe til KMD og tage en venskabelig samtale om Mette's viden om IT, især når der vælges at politianmelde på baggrund af det.

De sætter jo pris på konkurrenter ringer og hyggesnakker lidt om potentielle tvivlsomme ansatte ..

Vilhelm Thorgny Hansen

Enig - dog er det imho hamrende ligegyldigt hvorledes Esben indtaster de pågældende CPR-numre - manuel eller "automatiseret". At skelne mellem disse er ren DJØF ;) så kæmpe tommel op herfra til Esben. Og hvis KMD var en ludobrik, ville de være slået hjem nu.
KMD's reaktion og håndtering bekræfter i øvrigt blot, hvad man sagde om salig Nixon's håndtering af Watergate (uden sammenligning i øvrigt):
"Det er i orden, at man jokker i en hundelort, men derfor behøver man jo ikke slæbe den rundt med sig" ;)

Michael Cederberg

Her må det være på tide at Datatilsynet går ind i sagen, eller nogen anmelder det til Datatilsynet, og de forlanger logs for de forgangne 12 år på hvem der har været på og hvad de har søgt. Derefter kan de præsentere KMD for en forventet regning hvis person data loven var gældende i hele perioden - så bliver der nok sat ressourcer af til at lukke den slag huller - og ikke politianmelde borgere for indsigt.

Vi skal passe på med ikke at gøre det for dyrt at lave småfejl - ellers bliver IT enormt dyrt.

Jeg kan fint leve med at KMD og andre en gang imellem laver den slags fejl - i dette tilfælde mener jeg ikke der er sluppet information ud som giver problemer. Det der er galt i denne sag er at KMD først vælger at benægte sagen ved at sige at der ikke er noget problem og derefter går efter budbringeren.

Hvis man vil have en 0-fejls kultur, så kan man kigge på NASA eller flyindustrien. Det er uendeligt dyrt og langsommeligt. I stedet bør vi have en kultur hvor man tænker sig om, bygger software af ordentlig kvalitet, bringer eksperter ind hvor det er nødvendigt og retter fejl der findes.

Burde nogen have tænkt over hvad der skete med den information som kommer fra CPR registret? Ja. Burde de have overvejet hvordan "hackere" kunne bruge denne information og få adgang til mere end tiltænkt? Ja. Det er en del af fornuftig software design. Men at forestille sig at vi kan undgå fejl blot ved at straffe mener jeg er forkert. I steder bør man straffe virksomheder og offentlige styrelser hvis de ikke har styr på processerne. Et ordentligt sikkerheds review fanger 95% af den slags fejl.

Palle Due Larsen

Det der er galt i denne sag er at KMD først vælger at benægte sagen ved at sige at der ikke er noget problem og derefter går efter budbringeren.


Og de løj tilsyneladende ikke bare over for anmelderen, men også over for deres egen kunde.
Hvis jeg var Frederiksberg Kommune, ville jeg ikke være tryg ved en leverandør, der nægter et eksisterende sikkerhedshul, som jeg anmelder til dem og derefter fikser det i al hemmelighed.

Mikkel Jev

at råbe til højre og venstre, samt til hans arbejdsgiver, at Esben Warming Pedersen er hacker ? Mig bekendt er han ikke blevet dømt for noget endnu og bliver han ikke det har KMD's direktør vel begået ulovligheder ved at anklage ham offentligt ?

Povl Kvols

Hvis dit overvågningskamera filmer en indbrudstyv i at stjæle dit udstyr, så må du faktisk ikke offentliggøre videoen, eller billeder fra videoen!

Hvis ikke direktøren for KMD i det mindste får sig en bøde for at gå til Esben Warming's arbejdsplads, så burde nogen måske samle ind til et sagsanlæg for at statuere et eksempel. Det er simpelthen helt ubegribeligt, at de overhovedet kan finde på, at true manden på sit levebrød ved at eksponere ham på den måde! Esben Warming er stadig uskyldig indtil dømt - politianmeldt eller ej!

Povl Kvols

Hvis et IT system har haft denne sårbarhed i 12 år, så burde kommunerne/KMD tvinges til at skrive til alle der kunne være eksponeret, undskylde fejlen, og naturligvis dokumentere, om deres CRP-nummer har været slået op via dette hul. Det skaber da utryghed, at man har været registreret i et system, der har haft denne sårbarhed! (deres audit-logs burde kunne dokumentere, hvem der har lavet hvilke opslag)

Kommunerne/KMD burde vel i princippet også betale alle omkostninger ved evt. udskiftning af CPR-nummer, for alle der måtte være blevet eksponeret, hvis ofrene måtte ønske dette.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017