Dom faldet i kontroversiel børnehave-hackersag

Illustration: Virrage Images/Bigstock
OPDATERET. En familiefar hackede børnehaves IT-løsning for at gøre opmærksom på sikkerhedshul. Systemudvikleren Infoba meldte ham til politiet, hvilket førte til retssagen. I dag faldt dommen: Skyldig.

I dag faldt dommen over Henrik Høyer – familiefar og softwareudvikler, der gjorde opmærksom på et sikkerhedshul i sin søns børnehaves IT-system ved selv at hacke det.

Han blev kendt skyldig i hacking og fik den mindste straf mulig på 10 dagbøder, men uskyldig i at have ødelagt data.

»Jeg mener, at det er fuldstændig unfair, og det er et stort problem, at netop en som mig, der gør opmærksom på en sikkerhedsfejl, og som har kontaktet kommunen, får et rap over nallerne for det,« siger Henrik Høyer til Version2.

Sikkerhedshullet i it-huset Infobas system tillod cross-site scripting, hvilket Henrik Høyer udnyttede til at skrive en Javascript pop-up boks, hvor i der stod ’Ring til Infoba og sig, at jeres nye intranetløsning er blevet hacket’.

Vakkelvornt IT-system holdt sammen af gaffa

Infoba og Henrik Høyer har forskellige opfattelser af, hvorvidt han havde gjort selskabet opmærksom på sikkerhedshullet, inden han udnyttede det. Det fremgår af Version2’s tidligere dækning af sagen, som også viste, at andre forældre også havde fundet svagheder i børnehavens IT-system. Et system, der bliver anvendt i flere kommuner.

Infoba afviser, at Henrik Høyer kontaktede kommunen.

»Det gjorde han ikke. Han kontaktede heller ikke børnehaven. Han gik blot i gang med at hacke sig adgang til systemet,« skriver kommunikationsmedarbejder, Mathias Kupiec, Infoba, i en e-mail til Version2.

Læs også: Forældre fandt banale sikkerhedshuller i udbredt it-system til børnehaver

»Det ligner noget, der er holdt sammen med gaffatape,« sagde forælder Christian Liljedahl dengang til Version2, efter han blandt andet fandt ud af, at man med en lille rettelse i URL’en nemt kunne se andre børns personlige sider og oplysninger.

Siden Version2 dengang bragte historien, har Henrik Høyer fået flere henvendelser fra både IT-folk og forældre, der ifølge ham selv alle har været positive.

»Jeg har kun mødt opbakning og har fået et hav af henvendelser fra folk med børn i børnehaver på Facebook,« siger Henrik Høyer og fortsætter om de mails han har fået fra IT- og jurasagkyndige:

»De tekniske siger, at det kan skabe præcedens for, at man ikke tør råbe vagt i gevær og andre er fortørnet over, at man ikke går efter dem der har personfølsomme oplysninger liggende helt tilgængeligt.«

Han selv er af samme opfattelse og kommenterer:

»Det burde være dem, (red. Infoba) de sad på bænken.«

Infoba har fortalt i retten, at de har lappet sikkerhedshullerne, som Henrik Høyer fandt, samt tjekket for yderligere brister. Årsagen til de meldte sagen til politiet var, at de blev ’nødt til at tage hacking alvorligt’.

Mathias Kupiec afviser samtidig, at selskabet har personfølsomme oplysninger liggende helt tilfældigt.

»Henrik Høyer forsøgte at hacke sig vej til disse oplysninger. Det lykkedes ikke, da vi har bygget ualmindelig høje mure omkring personfølsomme oplysninger. Sikkerhedsbristen var banal og bestod udelukkende i, at han kunne sætte pop-up beskeden op.«

Håber at turde gøre det igen

Dommen har mærket Henrik Høyers lyst til hacking i god mening fremadrettet.

»Jeg vil tænke mig om næste gang og lige overveje, om jeg turde gøre det. Det håber jeg, at jeg ville turde. Den her straf blev et offer for, at de gør noget ved det, og de tog det seriøst,« siger han.

I øjeblikket har han fået betænkningstid og overvejer, om han skal anke sagen.

»Den er principiel og den første af sin slags i Danmark,« forklarer Henrik Høyer.

Artiklen er opdateret lørdag kl. 8.33 med kommentar fra Infoba. Desuden har vi præciseret at Infoba meldte sagen til politiet, hvorefter sagen blev rejst af den offentlige anklager.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mike Mikjær Blogger

Ja straffen var symbolsk, og den anklagede var en klaphat. Infoba, som burde have sidet på anklagebænken, mener jeg dog har handlet svigagtigt i den her sag. Primært fordi de har kendt til sikkerhedshuller i deres system mens de hårdnakket (indtil for nyligt) har påstået noget andet.

Desværre har den her farce nu dannet præcedens :(

  • 10
  • 2
Peter Makholm

Det fremgår af artiklen at Henrik Høyer er blevet idømt 10 dagbøder.

Dagbøder er et forsøg på at fastsætte en bødestraf på en måde så den rammer rig og fattigt lige hårdt. Det vil sige at den som udgangspunkt svare til den dømtes gennemsnitslige dagsindtægt. Det er nærmre beskrevet i Straffelovens §51:

§ 51. Når bøde i henhold til denne lov idømmes eller vedtages i retten, fastsættes bødestraffen i dagbøder. Dette gælder dog ikke bøder, der pålægges som tillægsstraf til anden retsfølge. Dagbødernes antal bestemmes under hensyn til lovovertrædelsens beskaffenhed og de i § 80 nævnte omstændigheder til mindst 1 og højst 60. Størrelsen af den enkelte dagbod fastsættes til et beløb svarende til den pågældendes gennemsnitlige dagsindtægt, idet der dog ved beløbets fastsættelse bør tages hensyn til bødefældtes livsvilkår, herunder hans formue, forsørgerpligter og andre forhold, der indvirker på betalingsevnen. Dagboden kan dog ikke fastsættes til et lavere beløb end 2 kr.

Jeg ved ikke lige hvad en dagbøde betyder i Henriks tilfælde.

  • 1
  • 0
Claus Bobjerg Juul

At undlade at sikkerhedsteste en løsning er en aktiv handling.

Ergo er det også en aktiv handling at acceptere at ens løsning har utilsigtede features.

En feature må bruges, om den så er til sigtet eller ej, for ellers vil der være mange ting der er ulovligt.

  • 7
  • 2
Bent Jensen

Der bliver vel ingen næste gang,. Det bliver hacket, alle data hentet og system der efter krypeteret eller slettet.

Der lyder så fra udviklerne af systemet "ingen ting", de håber at en backup kan genskabe systemet og tyser det net.

Den nye datalov med 4% straf af omsætningen kunne bruges her. Hvor jeg venter, hvor jeg venter, på nogen får sådan et hack, at de bliver nød til at dreje nøglen.
Det er den eneste måde man lære amatøre firmaer som Infoba at have styr på data og sikkerhed.

Man kan håbe det bliver dem som bliver ramt af hameren, selv om der er 2 år til at loven træder i kraft.

  • 12
  • 2
Nicolai Larsen

Og hvordan ser det ud med vores retssystem, når de ikke kan se, at her er tale om banaliteter?

Loven er lige for alle, og det kan være svært at vurdere hvornår noget er en banalitet eller ej, og så er det op til dommerens vurdering. Vi skal gerne sikre at vi alle dømmes nogenlunde ens og ikke afhængig af hvilken dommer der har sagen, så derfor er loven firkantet i nogle tilfælde.

Men folk skal bare lære, at hvis de opdager en sikkerhedsbrist, så lad være med at være kreative - meld det til datatilsynet. Hvis vi tillader at gud og hver mand må vulnerability teste og derefter "hacke" hvad de har lyst til, så åbner vi jo op for at alle kan bruge det som en undskyldning når de bliver taget med fingrene i kagedåsen. "Hr. Dommer, jeg ville ikke have Danske Bank, bare teste om sikkerheden var i orden".

  • 5
  • 1
Bent Jensen

Men folk skal bare lære, at hvis de opdager en sikkerhedsbrist, så lad være med at være kreative - meld det til datatilsynet.


Som når TDC ikke udlevere persondata på forespørgsel ?

"Tilsynet har ikke hjemmel til uddele bøder og må kun meget sjældent indgive politianmeldelse. Birgit Kleis kan ikke huske tilfælde, hvor en databehandler er blevet anmeldt for at undlade at svare."

Datatilsynet er en total vitighed, og har sikkert ikke givet en bøde eller været på besøg nogen steder de sidste 10 år, sådan sat helt på spisen De gør som SKAT og Fødevare styrelsen, og 20-30 dobbler kontrol besøgene, ved at ændre den administrative praktis. Hvem skulle kontrolere at den ikke holder.

https://www.version2.dk/artikel/datatilsynet-truede-tdc-med-politianmeld...

Men der er måske undskyld, de er kun omkring 30 offenlige anstatte, og prisen er endda under million per styk,
men der er nok heller ikke mange udgifter til transport

https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/AArsrapport...

  • 12
  • 1
Michael Weber

Hvis vi tillader at gud og hver mand må vulnerability teste og derefter "hacke" hvad de har lyst til, så åbner vi jo op for at alle kan bruge det som en undskyldning når de bliver taget med fingrene i kagedåsen. "Hr. Dommer, jeg ville ikke have Danske Bank, bare teste om sikkerheden var i orden".

For mig at se er forskellen mellem at tillade vulnerability tests og ikke tillade det, i virkeligheden om de, der anmelder en fejlbehæftet it-installation til leverandøren, skal kriminaliseres.

Jeg mener godt en domstol kan tolke om en tiltalt har udvist god vilje eller ej, f.eks. ved at se på, om vedkommende har kontaktet leverandøren og påpeget problemet og/eller om det primære formål var at omgå sikkerhedsforanstaltninger mv. eller at tilgå data bagved sikkerhedsforanstaltningerne. Altså om vulnerability tests var mål eller middel. For de, hvor det er et middel, er det jo ligegyldigt om det er ulovligt eller ej.

I den konkrete sag har han jo sådan set bare "taget i håndtaget på fordøren og konstateret at den ikke er låst" og anmeldt forseelsen til leverandøren.
Så et par flasker rødvin må være på sin plads, ikke et sagsanlæg.

And the winners are:
Infoba and the Black hats
A match made in heaven :)

  • 11
  • 0
Flemming Larsen

Såbarheden ser ud til at være en klassik manglende inputvalidering krydret med cross-site scripting.

Med den manglende inputvalidering vil en bruger kunne ændre i URL på i browserlinjen og dermed få adgang til andres personlige data. Det er en klokkeklar overtrædelse af persondataloven. Man kan vælge at kontakte firmaet og gøre dem opmærksomme på fejlen eller anmelde forholdet direkte til datatilsynet. Det sidste har jeg selv prøvet ;) Det kom der ikke meget ud af. Datatilsynet ringede mig op ca 1 år efter anmeldelsen og mente ikke der var nogen sag mere ... da fejlen jo var rettet.

Fint at bødeloftet er hævet, men det nytter som sagt ikke meget hvis datatilsynet ikke forfølger de klare overtrædelser.

  • 4
  • 0
Nicolai Larsen

Fint at bødeloftet er hævet, men det nytter som sagt ikke meget hvis datatilsynet ikke forfølger de klare overtrædelser.

Enig. Men det er jo et spørgsmål om vilje og prioritering (økonomi) i samfundet. Som det ser ud nu, vejrer hensynet til skattelettelser, og/eller hjælp til svage, nok tungere end XSS fejl og datatilsyn. I hvert fald indtil en fejl medfører så stort et misbrug, at det overgår de andre ting der fylder i samfundsdebatten. Sådan fungerer det bare, men derfor nytter det ikke noget at folk selv bliver kreative og man kan heller ikke åbne op for at alle amatører frit kan sikkerhedsteste hvad de ønsker.

  • 1
  • 0
Nicolai Larsen

Jeg mener godt en domstol kan tolke om en tiltalt har udvist god vilje eller ej,

Det er jeg ikke helt enig i - både whitehat og blackhat vil påstå de bare testede sikkerheden - der kan selvfølgelig godt være omstændigheder der taler for det ene eller det andet, men i mange tilfælde vil det nok være umuligt at skelne, og ønsker vi at give blackhat nemmere muligheder? Med dit argument åbner du for muligheden for at blackhat kan agere whitehat indtil han bliver opdaget eller medmindre en dommer kan vurdere formålet.

Så hvis jeg med god vilje gerne vil tjekke om Version2 har DDoS protection, er det så også i orden at jeg tester det? :)

Det er immervæk nemmere for alle at forstå en lovgivning der siger "lad være med teste andres systemer" end en lovgivning der siger "nogle gange må du, andre gange ikke - det må en dommer vurdere". :)

Så igen, opdager man en sikkerhedsbrist - så lad være med at være kreativ, men meld det. I dag er der endda mulighed for at sive historien til pressen, hvis ikke en anmeldelse fører til noget.

  • 0
  • 0
Henrik Høyer

Jeg synes ikke, at straffen fremgår af artiklen - kunne man håbe på, at den har været symbolsk?

Straffen er på ingen måde symbolsk. Jeg har nu en plet på straffeattesten hvilket formentlig betyder at jeg mister min sikkerhedsgodkendelse. Dette giver mig problemer med at arbejde for de af vores kunder som har personfølsomme oplysninger liggende - og som tager det seriøst.

  • 12
  • 0
Henrik Høyer

Jeg forstår ikke hvorfor journalisten lader en studentermedhjælper udtale sig på Infobas vegne.

Mathias (https://www.linkedin.com/in/mathias-kupiec-3bbb6083)var ikke til stede i retten og ved intet om fejlene, og har kun ”arbejdet” hos Infoba i 6 uger.

Infoba var tilstede i retten med deres to partnere, hvoraf den ene er deres såkaldte ”it ekspert” Torben Væring (https://www.linkedin.com/in/torbenvaering).

Under retssagen omtalte han fejlen som ”meget pinlig”. Han beskrev også hvordan jeg på 17 minutter havde fundet 3 fejl i systemet hvoraf de 2 var alvorlige. Og indrømmede at det var fejl som de selv burde havde fundet.

Anklagerens tekniske vidne (Han er IT ingeniør fra politiet, men da han ikke har nogen aktier i denne sage undlader jeg at linke til hans profil) omtalte sikkerhedshullet som ”meget kritisk”, og udtalte at ”måden hvorpå anklagede demonstrerede sikkerhedshullet var harmløst”

  • 22
  • 0
Michael Weber

Det er jeg ikke helt enig i - både whitehat og blackhat vil påstå de bare testede sikkerheden - der kan selvfølgelig godt være omstændigheder der taler for det ene eller det andet, men i mange tilfælde vil det nok være umuligt at skelne, og ønsker vi at give blackhat nemmere muligheder?

På det tidspunkt, hvor det måske kan være svært for en domstol at vurdere intentionen fra denne - lad os kalde denne X-hat - er sikkerhedsfejlen ført til retsprotokol og altså offentlig kendt. Så fejlen eksistere forhåbentlig ikke længere og i forhold til X-hatten, ja tvivlen skal jo komme den tiltalte til gode. Anklageren har jo kun bevist at vedkommende har testet sikkerheden og fundet et hul. Anklageren har ikke bevist ond intention f.eks. ved at bevise at vedkommende f.eks. har slettet data eller kopieret data o.s.v.

Så hvis jeg med god vilje gerne vil tjekke om Version2 har DDoS protection, er det så også i orden at jeg tester det? :)

Måske.
Alt efter omstændighederne, illustrere dit eksempel et spørgsmål, som en domstol skal bruge lidt ekstra tid på. F.eks. om du kender konsekvenserne af din test.

Men der er vel ikke noget odiøst i, at der vil findes grå-zoner, hvor tingene ikke lige ligger til højrefoden. For det er vel dét, dit eksempel skal illustrere?!

Det er immervæk nemmere for alle at forstå en lovgivning der siger "lad være med teste andres systemer" end en lovgivning der siger "nogle gange må du, andre gange ikke - det må en dommer vurdere". :)

Det er et lidt underligt argument at mennesker skal kriminaliseres, fordi lovgivningen ellers bliver for kompliceret. Det er jo helt sort :)

  • 2
  • 0
Ken Poulsen

Hvis man nu har fundet er par fejl mere hos Infoba, skal man så bare holde kæft eller sælge/udnytte hullerne? For det er jo bevist at det ikke kan betale sig at være flink...
Havde Henrik nu blot delt sin viden på et af de mange forums og en mor så var gået et skridt videre med at se om hendes barn Bobby Tables gik på stedet.
Hvor var vi så stået? Infoba var jo nok mere ude at sk*de end de er nu!

Fandt selv for 12-13 år siden en fejl hos et firma i Nørresundby, deres tak var et par flasker rødvin. Den blev fundet ud af kedsomhed/nysgerrighed og gav dem besked om det og det ligner jo meget Henriks sag, blot uden tåberne...
Måske er var fordi det ikke var et IT firma som fik ødelagt deres stolthed, at jeg fik et par flasker vin som tak.

  • 0
  • 0
Christian Hansen

Måske hare infoba overreageret i det her tilfælde, men ingen synes det er sjovt at blive taget med bukserne nede, så det er nok mere hvordan beskeden om en sårbarhed blev overleveret, dvs. i for a stored XSS til brugerne.

Selvom jeg mener Infoba nok har overreageret (udfra den smule information jeg har læst here), så synes jeg stadig ikke det er acceptabelt at injecte scripts. Alle web applikationer har sårbarheder, alle (også Version2 også Danske Bank også Google, alle!), men skulle man finde en sårbarhed i nogle af disse, er det ikke ens ret, hvis udviklingsteamet/sikkerhedsteamet ikke reagerer hurtigt nok, at udnytte sikkerhedshullet, heller ikke for at få opmærksomhed om problemet.

Der er masser af 3. parts sikkerhedstestere og firmaer der godt kan finde ud af at arbejde sammen, men i det her tilfælde virker det mere som en short-coming fra begges sider. Infoba mistede brand-værdi og Henrik Høyer fik bøder – uheldigt for bege parter.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize