Gymnasieelev anmeldte CPR-hul i skolesystem til Datatilsynet - nu får han en advarsel af skolen

Når en elev, der gør opmærksom på en it-sikkerhedsbrist i jeres it-systemer bliver mødt med en advarsel, risikerer I så ikke, at ingen vil gøre opmærksom på lignende sikkerhedshuller i fremtiden?

»Nu gjorde han jo ikke opmærksom på det, han meldte det til Datatilsynet.

At melde det til Datatilsynet er vel også at gøre opmærksom på det. Han var nok bare nervøs for at nogen på skolen ville komme efter ham....

Michael Kaas-Andersen er nok bare muggen over at hans skole blev hevet frem i søgelyset, og at han blev sprunget over i hierarkiet, da knægten gik til Datatilsynet.

Mon ikke Jonas havde fået samme advarsel selvom han havde kontaktet skolen, de mener jo stadig at det er "hacking af lukkede systemer"?…

Hvis han havde kontaktet skolen, så var hullet hos STIL nok heller ikke blevet lukket.

Michael mener åbenbart heller ikke at det at Jonas kontaktede Datatilsynet viser at han ville have hullet lukket. wtf?

Stod det til mig burde Direktør Michael K, samt den it ansvarlige sparkes ud af døren for inkompetence, for det er vel der er det egentlig problem, i øvrigt lyder det som om at dem der har designet hjemmesides heller ikke ligefrem ved hvad det er de har gang i.

Det kan da godt være at han burde have gået til ledelsen med det pågældende problem. men uanset hvad, så havde han vel alligevel fået en advarsel, så det at han gik til datatilsynet var sikkert også en god ting.

Selvfølgelig skal han have en advarsel, egentligt burde han være blevet meldt til Politiet for hacking - det er det han har gjort.

Jonas Boserup gik til medierne FØR han gik til systemejer iht. den tidligere artikel. Version2 blev nødt til at kontakte systemejer førend hullet blev lukket. Måske havde de på nuværende tidspunkt ikke fået kendskab til det? Måske havde de, deres problem.

Essensen er at Jonas Boserup har misbrugt sin viden og viderebragt den til uvedkommende førend systemejer er orienteret.

Det er super godt, at han anmelder det til Datatilsynet, det skal han gøre. Han kan sende dem en fælles mail, hvor systemejer er BCC, så de bliver orienteret sammen med Datatilsynet. Når han har modtaget en bekræftelse (ikke autosvar), så kan han gå til et medie og beskrive forløbet.

Jeg har flere gange "hacket" mange sjove offentlige systemer, også hvor jeg fik adgang til CPR-opslag. Jeg har ALDRIG fortalt andre end systemejer hvordan og hvor hullet ligger, førend de har fået lov til at kigge på det.

Jonas Boserup HAR hacket og så endda været så svinsk at delagtiggøre andre i hvordan de kan udnytte sårbarheden, før det er lukket. Advarsel? Selvfølgelig.

Inkompetence er vist et meget pænt ord her.

Problemet er jo, at den slags sager her, ofte bliver syltet af systemejere, fordi de ikke tager sagen seriøst nok indtil lokummet virkelig brænder. Ved at inddrage Version2 og Datatilsynet først kommer der sgu unægteligt noget mere vægt bag advarslen :-)

Jonas burde ha' en medalje, ikke en advarsel.

Det er fint, at Version2 har fulgt op på sagen. Men jeg savner en forklaring på, hvorfor responstiden, før hullet blev lukket, var så lang? Var det hos skolen eller undervejs, sagen trak i langddrag?

Selvfølgelig skal han have advarslen.

Ved at inddrage Version2 og Datatilsynet først kommer der sgu unægteligt noget mere vægt bag advarslen :-)

Så har du jo slet ikke læst hvad jeg har skrevet, og kommer egentligt bare med endnu en meningsdannelse, endnu en der "bekræfter" Jonas i, at DU synes, at det han gør er godt.

Han kan sende dem en fælles mail, hvor systemejer er BCC, så de bliver orienteret sammen med Datatilsynet. Når han har modtaget en bekræftelse (ikke autosvar), så kan han gå til et medie og beskrive forløbet.

Gør han det, så er han golden, og så kan han gå til diverse medier alt det han vil. Så bør han gøre det, men ALDRIG ALDRIG før. Det er svinsk og hjælper egentligt kun til, at flere mennesker kommer til at kende et potentielt farligt sikkerhedshul.

Det er selvsagt, at systemejer bliver sure, når de ikke får det at vide, så de kan fikse fejlen INDEN medierne står og banker på døren og spørger hvorfor den fejl stadigvæk eksisterer. De er jo ikke informeret omkring fejlen og kan derfor ikke rette den før de ved det.

Som jeg ser det er det udmærket at gå til Datatilsynet eller DK-Cert med sådanne informationer. Man må gå ud fra at sådanne institutioner er i stand til at holde information fortrolig indtil hullet er lukket. Central rapportering kan hjælpe myndighederne med at få et overblik over danske it-huller.

Nogle it-sikkerhedsfolk lever af at få anerkendelse for identificering af it-huller. De kan bruge det på deres CV. Efter et hul er lukket skal finderen anerkendes. Central rapportering som i CVE kan hjælpe med det.

Det er selvsagt, at systemejer bliver sure, når de ikke får det at vide, så de kan fikse fejlen INDEN medierne står og banker på døren og spørger hvorfor den fejl stadigvæk eksisterer. De er jo ikke informeret omkring fejlen og kan derfor ikke rette den før de ved det.

Jeg tror du har misforstået noget. STIL (som står bag systemet Easy-P) havde fået et fint brev fra Datatilsynet, med en frist. Version2 kontaktede STIL efter denne frist.

Fra den første artikel:

Datatilsynet giver STIL en frist på tre uger til at svare på henvendelsen, der er dateret 7. september.

Den 23. september var der stadig ifølge Jonas Boserup stadig fri adgang til CPR-numre i STIL.

Først efter at Version2 rettede henvendelse til STIL, ligeledes 23. september, meddelte vicedirektør i STIL Aino Olsen i slutningen af sidste uge, at hullet nu er lukket.

Du misforstår da selv. De har ikke bekræftet, at de har set det, så derfor kan de ikke reagere. Eller også har de, men det er ikke op til Jonas og gå til medierne før de har haft mulighed for at følge op på det eller det er bekræftet, at de kigger på sikkerhedshullet.

Hvis han føler, at sagen skal frem, så kan han tage kontakt til Datatilsynet, med henblik på, at få en bekræftelse på, at STIL har været i kontakt med Datatilsynet.

Han har stadigvæk sent et ÅBENT sikkerhedshul videre til medier, og derfor er der ingen tvivl om, at han beriger sig selv. Advarslen er uden tvivl helt fortjent.

Jeg synes, du er MEGET hård ved en gymnasieelev, der trods alt ikke er gået til EB, som andre måske kunne have fundet på.

Han har forsøgt at gøre det rigtige, venter 14 dage, og ser så, at hullet stadig er åbent, og så kontakter han Version2, som han vel anser for et medie, man kan have tillid til i den sammenhæng.

At du så, som voksent menneske, der tydeligtvis ved noget om den slags, har andre løsningsforslag, berettiger dig efter min opfattelse til at kalde det for "svinsk", hvad han har gjort.

Jonas kan tage dine løsningsforslag til sig til en anden gang, men resten af dit fordømmendee indlæg kan han efter min mening roligt se bort fra.

Rettelse til mit indlæg kl. 16,39:

Der skal selvfølgelig stå berettiger dig efter min opfattelse IKKE til at kalde det for "svinsk", hvad han har gjort."

1) vi har ytringsfrihed her i landet, hvem Jonas vælger at kontakte eller ej er sagen uvedkommende, sålænge det ikke føre til mere kriminalitet.
2) hvis der har samfundsmæssig karakter er det helt legitimt at kontakte pressen først

Som Andreas i den først kommentar skriver er det sikkert bare en skoleleder som føler sig truffet over at han ikke var den først som Jonas gik til.

Det er det samme der sker HVER gang der bliver fundet et hul hos en skole...
Jeg sad faktisk bare og ventede på at han ville få en advarsel, og det i sig selv er sørgeligt...

<BitterRant>

Jeg har selv været igennem det, flere af mine venner har været igennem det, og jeg har læst mere end en artikkel her på version2 om elever der finder huller og er ansvarlige med deres information, kontakter systemejer eller producent som så kvitterer med advarsler, politianmeldelser eller bortvisning.
De stakkels elever har jo bare fundet noget der ikke virker som det bør, som kan gå ud over dem selv eller deres venner, og så melder de det ind med forventningen om at de gør det rigtige så det kan blive løst...

Gad vide om man også bliver straffet hvis man opdager at skolen ikke bliver låst om natten og melder det ind til pedellen/skolens ledelse?

Moralen er at i stedet for at fortælle om fejlene skal man sælge oplysningerne til russiske hackere, de sætter i det mindste pris på oplysningen, og så har du også lidt ekstra lommepenge...

</BitterRant>

Ej hvor kan jeg blive sur over at blive behandlet på den måde når man bare prøver at hjælpe efter bedste evne. For slet ikke at nævne den hjerneblødning af en udtalelse om at "Nøøøøjjjj det er ikke et sikkerhedsproblem... fordi... fordi.. fordi - man kan kun komme ind hvis man prøver og det må du ikke!"

Når man hører denne historie om sløseri og lang reaktionstid, når man bliver advaret (hvorfor har Datatilsynet ikke selv fulgt op på, om hullet straks blev lukket?), så kan man more sig over følgende passus i aktstykke om igangsættelse af sundhedsdataprogrammet:

"På tværs af alle programmets projekter er der et særskilt fokus på datasikkerhed. Et helt centralt element i Sundhedsdataprogrammets arbejde er således, at indsamling, opbevaring og videreformidling af data om borgernes sundhed sker med de fornødne datasikkerhedsmæssige foranstaltninger og i overensstemmelse med borgernes datarettigheder i persondataloven og sundhedsloven." http://www.ft.dk/samling/20142/aktstykke/Aktstk.162/1544720.pdf

Hvordan vil man sikre dette? Er der noget som helst, der tyder på, at man I VIRKELIGHEDEN prioriterer sikkerhed for persondata i det offentlige system i Danmark?

Man har lige skåret et par procent i Datatilsynets i forvejen utilstrækkelige ressourcer. Jeg håber meget, at det er gymnasieelever af Jonas' type, der finder hullerne i disse meget følsomme sundhedsdatabaser, inden mere ondsindede væsener opdager dem.

Som Systemudvikler i finansbranchen er en simpel sikring som '_secure' i urlen, desideret pinlig. Det der bekymre mig mest er at det nok ikke er det eneste offentlige system med en så ringe sikring... Det kræver en ganske lille ændring på serveren der hoster og så er det endog meget svært at komme ind uden tilladelse....

Sikke noget, men det har Jonas så for sin nysgerrighed og hjælpsomhed.

Jeg vil lige repetere, at der fra skolens eget åbne WIFI, også var adgang- hvorfor?
Burde administratibe systemer- ikke være for folk, der decideret har brug for dem?

De burde vel ikke være halvåbne/halvlukkede af kodeord som en (godt nok smart) gymnasieelevet kan regne ud.

Adgang til systemer skal ske på en måde, så de der skal have adgang, har det- og ingen andre. Det er måske upraktisk, men det kan løses. Jeg regner med at sekretæren, allerede har fået drejet sit bord, en ny skærm, der kun kan kigges på ligefra- får hun nok næppe.

Og herfra: Min nørdemand kontakter jævnligt folk, der har problemer med sikkerheden på især deres mailsystemer. Det sker der ikke ret meget ved- og det tager lang lang tid, hvis der gør. Som mailudbyder, er det hans problem, når mailkunder godt kan sende men ikke modtage og vice versa.

Thumb up til Jonas!

"Lukkede systemer" eh?!

Mvh
Tine

Sorry!

Glemmer altid at - kommer til at ændre formatteringen.

UNDSKYLD- jeg ville ikke råbe...

Mvh
Tine der lige skulle noget i editspace...

Man skal gå direkte til Ekstra Bladet anonymt fra starten. De er gode til kildebeskyttelse. Lad være med at blande myndighederne ind i sagen, overlad det til de professionelle, nemlig journalisterne.

Det andet er ALT for farligt, og det skal alligevel i avisen før der sker noget

Jonas Boserup HAR hacket og så endda været så svinsk

@Henrik Petersen

Du deltager for første gang i en debat på version2.dk, med ikke færre end tre bemærkelsesværdige indlæg.

Fortæl gerne lidt mere om dig selv, og også gerne om hvorfor du er så engageret i lige netop denne debat.

Velkommen!

Efter min mening er det vel kun positivt.. det er vel os derfor vi har datatilsynet og hvis sådanne sager ikke meldes den vej, så ved datatilsynet vel heller ikke hvor skidt det står til i Danmark..

Denne sag understreger hvorfor det er vigtigt at Datatilsynet hurtigst muligt får oprettet en kompetent og sikker whistleblower-ordning.

Til Jonas:

Du gjorde det helt rigtige i situationen.

Du skal ikke tage dig af at direktøren på Selandia er pige-fornærmet: Han er kun i dit liv nogle få korte år, mens du skal leve med din egen samvittighed hele livet.

Poul-Henning

(Lige henne om hjørnet i Slagelse)

Det er elever med det mindset, Jonas tydeligvis er i besiddelse af, som Danmark skal have flere af. Uddannelsesinstitutioner skal bakke op om deres udvikling, ikke forsøge at standse den med bureaukrati. Kunne vi ikke få en undervisningsminister ind og overrule den Selandia beslutning? Giv knægten en flidsmedalje også.

Kunne vi ikke få en undervisningsminister ind og overrule den Selandia beslutning? Giv knægten en flidsmedalje også.

Go go!

Ministertlf.: +45 3392 5001
E-mail adresse: minister@uvm.dk

den der med at henvende mig til systemejer først. Flere gange.
Men altid uden andet resultat end at der "skam ikke er noget i vejen med deres sikkerhed".
Datatilsynet (som nu bliver yderligere stækket af de blå) er sommetider lidt lang tid om at komme op i omdrejninger, men desværre er det den eneste vej, der virker. Med mindre historien kan sælges til ekstrabladet - eller version2.

så endda været så svinsk at delagtiggøre andre i hvordan de kan udnytte sårbarheden

Det svinske i denne sag, er at en skole har indsamlet personlige oplysninger, og derefter opbevaret dem under åbenlyst usikre forhold.

Ham Michael Kaas-Andersen er vist en værre politimand, med særregler og eget domsystem.
Tænk at true en elev til samtykke, ved at true ham på hans fremtid… Havde eleven fortalt skolen om problemet, så havde de givet ham en advarsel alligevel.

Jeg finder det bekymrende, at Michael Maas-Andersens ledelsesevner ikke er større, end at fiske en udsmidning op af lommen. Måske burde skolens ledelse tage fat i fyren?

Hurra for dygtige studerende, der gør deres pligt og underretter myndighederne, når nogle sjusker med andres intim-data!

Rigsrevisionen er opmærksomme på historien og STIL skal nok forvente at blive revideret på deres sikkerhed.

Det kunne være sjovt at bede om aktindsigt i korrespondancen mellem skolen og STIL vedr. sagen, for at se om der måske har været nogen korrespondance og hvad den har været.

Sagen minder om en nylig sag fra Texas, hvor 14-årige Ahmed Muhamed havde lavet sit eget ur og taget det med i skole. Læreren troede, det var en bombe, tilkaldte politiet, der førte ham væk i håndjern, hvorefter skolen bortviste ham. Indtil Obama inviterede drengen til Det Hvide Hus og roste ham for sin opfindsomhed og forklarede til offentligheden, at Amerika har brug for den slags initiativ.

Jonas bidrager til fællesskabet ved at påvise et sikkerhedshul, som han ikke misbruger. Det er en skændsel for skolen, at de giver ham en advarsel og ikke en belønning. En skole bør netop gå forrest og efterleve en kultur, hvor fejl er tilladt (også egne) og bruge dem til at lære og forbedre sig.

Jeg vil gerne vide hvordan vi får undervist (lært igen) at det ikke er hacking at indtaste (eller ændre) en URL.

Det her lugter lang væk af der er nogen der har ondt over deres inkompetence er blevet opdaget.

Den måde hvorpå han reagerer med poste tre eddike sure indlæg indfor 30 minutter tyder på at manden har ”aktier i sagen”.

Et gæt kunne være at han er blevet kaldt ”ind på gulvtæppet” og har fået skældeud af direktøren.

Og nu går han ”i pressen” med sine sure indlæg.

Jonas Boserup HAR hacket og så endda været så svinsk at delagtiggøre andre i hvordan de kan udnytte sårbarheden, før det er lukket. Advarsel? Selvfølgelig.

Han har fiflet lidt med nogle url'er og det har grundet kriminel inkompetence hos system leverandøren medført at han har fået adgang til noget data der SKULLE HAVE VÆRET BESKYTTET, men var offentligt tilgængeligt.

Der er lidt for meget fokus på Jonas i denne sag og jeg synes at både skolen og system leverandøren gemmer sig lidt for meget bag juraen i stedet for at stå frem og takke Jonas for at have fundet fejl i deres system, give ham en check og 6 flasker god vin.

Lur mig om der ikke er flere fejl i systemet og næste gang det bliver hacket, gider ophavsmanden jo ikke melde det til nogen som helst, udover måske at sende en pastebin med data til medierne.

Er system leverandøren blevet meldt til politiet?

Det er jo Jonas Boserups persondata som ikke var beskyttede. Det er ikke fordi han har kigget rundt i systemer der ikke var relaterede til ham.

"Først prøvede Jonas Boserup at taste sit eget CPR-nummer ind i feltet - herefter returnerede systemet hans navn. Dernæst prøvede han efter aftale med en ven at indtaste vennens CPR-nummer. Her fik han navnet på vennen returneret. Jonas Boserup fortæller, at vennen slet ikke er tilknyttet en uddannelse."

Og når man tænker på hvor meget malware og crap der er på nogle af de laptops folk slæber med på deres uddannelse så synes jeg ikke at security-through-obscurity er en acceptabel strategi.

Hvor er det ærgerligt at en dygtig ung mand som Jonas skal have smadret sin nysgerrighed og kreativitet af "systemet". Beløn dog knægten!

Google, Microsoft, Facebook ... tilbyder penge for den slags han har opdaget omend det nok er på et lidt højere teknisk niveau end at fjerne en parameter fra en URL. (http://www.forbes.com/sites/andygreenberg/2013/06/19/microsoft-finally-o...)

Jeg bemærkede engang, at et fagforeningslogin havde den nærmest sædvanlige fejl, at medlemsnummeret frit kunne ændres i URL af nysgerrige, og så var der fri adgang til andres data. Over et års tid skrev jeg til diverse ansvarlige, og supplerede til sidst henvendelsen med udtræk af deres egne personlige oplysninger fra hullet. Alligevel tog det to år før systemet blev ændret.

For mig er det lige så logisk at kikke i URL efter søgemulighed, som at bruge Google. Fx er det ofte muligt at afkorte link, så de bedre passer i andre sammenhænge. Eller at få en oversigt over et helt bibliotek. Logiske småting, som man da bør oplære unge mennesker til at bruge, i stedet for at skræmme dem bort.

Ja, dine eksempler er netop af den type, som jeg også kan finde på at bruge.

Et andet eksempel kunne være, at jeg via Google finder et interessant referat omhandlende et af mine interesseområder, oftest pdf. Når jeg finder det via Google, går jeg ud fra, at det er lovligt?

Den slags ligger ofte sorteret via årstal, der ligger i url. Hvis jeg så er tilstrækkeligt nysgerrig, kan jeg finde på at se, om jeg kan få flere referater frem ved simpelthen at ændre det pågældende årstal i url, hvilket da jævnligt lykkes. Kan jeg på denne måde risikere uforvarende at komme ind på "hemmelige" sider?

Det kunne jeg faktisk rigtigt godt tænke mig at få et svar på, i lyset af ovenstående.

Sagen minder om en nylig sag fra Texas, hvor 14-årige Ahmed Muhamed havde lavet sit eget ur og taget det med i skole. Læreren troede, det var en bombe, tilkaldte politiet, der førte ham væk i håndjern, hvorefter skolen bortviste ham. Indtil Obama inviterede drengen til Det Hvide Hus og roste ham for sin opfindsomhed og forklarede til offentligheden, at Amerika har brug for den slags initiativ.

Der er lidt mere til historien end som så,
for det første har han ikke lavet sit eget ur, det var et bord ur som han har skilt ad og lagt delene ned i en lille kuffert.

For det andet viste han det i 5 forskellige fag og uret begyndte at ringe midt i en time hvorfor engelsklæreren blev forskrækket og så kassen med ledninger stikkende ud og derefter ringede til politiet.

http://www.dhs.gov/see-something-say-something

Granted de er lidt paranoide i USA, men med skoleskyderier mv. er der ikke plads til at tøve hvis man ser noget suspekt.

Jeg synes ikke helt man kan sammenligne det med denne sag, Jonas har ikke udvist truende adfærd udover at kontakte Datatilsynet dog har han udvist lidt mere opfindsomhed end at skille en clock radio ad og ligge den i en kuffert, så måske bliver han inviteret ind til Lars?

American exceptionalism får et helt andet ring når præsidenten vælger at fremhæve en dreng for at have skilt et ur ad og lagt det i en kuffert. Men ok, det er een måde at få en bombe ind i det hvide hus ;)

Det kan vel anbefales at droppe artiklen til en af de store aviser. Det vil være fint at få dem på banen, og ikke kun i Version2's lukkede kreds.
Sagen udstiller institutioners inkompetence, samt manglende fornuft i det skitserede reaktionsmønsteret. Det er naturligvis ikke ulovligt at gå til datatilsynet med en sådan sag. Det eleven måske-- måske-- kan kritiseres lidt for er, at den pågældende ikke har kopieret skolen på anmeldelsen. Man skal naturligvis ikke først gå til skolen, hvis man har den mindste mistanke om, at kunne blive forfulgt eller at institutionen helt vælger ignorerer henvendelsen, da den er direkte kompromitterende for deres IT funktion og den ansvarlige. Den burde han / hun selv ha' set.

Jeg er helt enig i, at man bør se på kompetencerne i disse institutioner. Der sidder givet nogle, som ikke burde ha' det ansvar de i realiteten har.

Ja, Jonas har "hacket" - og det i den gode sags tjeneste. Hvordan havde nogen forestillet sig at teste sikkerheden, hvis ikke det netop er ved at forsøge at omgå den??

Jonas bør efter min mening belønnes af skolen og have en undskyldning for deres første reaktion. Han gik jo netop til "myndighederne" med sin opdagelse for at få det/de problem(er) han havde opdaget løst. Og det lader til, at han gjorde det med god grund...!! Jeg sidder i hvert fald med en grim fornemmelse af, at var han gået til skoleledelsen, havde han fået en advarsel for hacking og "verden" havde aldrig hørt om det og problemet ikke løst !!

Helt ærligt, så bør skolebestyrelsen for pågældende skole ind i sagen og sætte deres ledere på plads.

GODT GÅET JONAS !!! Keep Up the Good Work !!

"Vi foretrækker helt generelt ikke, at elever går ind i hverken vores lukkede systemer,..." Hvis de var lukkede, så var der vel ikke noget problem?

Teknisk set svarer det jo til at man trykker et håndtag ned for at se om døren så kan åbnes. Dermed har man jo til hensigt at opnå en adgang man ikke har opnået tilladelse til.

Men jeg kan sagtens se det urimelige i at blive straffet for at kontrollere sikkerheden ved en 3. parts dør hvor ens egne private skulle ligge beskyttet bag.

Skolens ledelse vil bare ikke udstilles som inkompetent!
Hvis jeg havde et IT firma, ville jeg hyre ham med det samme!

Så fremgangsmåden for dette hack var at skolen stillede et åbent wifi netværk til rådighed hvor man kan tilgå en side for at skrive et skoleID. Her afprøvede Jonas så nogle forskellige heltal og fik yderligere adgang til en menu som skulle forestille at have beskyttede menu punkter der holdte CPR numre. Ved at fjerne '_security' fra menu URL'en fik han så adgang til elevers CPR numre i praktikforløb?

Yderligere var der en menu der tillod indtastning af tilfældige CPR numre, og hvis dette resultere i en "true" så skrev den navnet på holderen af CPR nummeret?

Jeg syntes det er interessant og tankevækkende at Jonas har fået en advarsel fra skolen. Men hvornår er det at virksomheder, uddannelses institutioner mm. Får bøder og fængsels straf for at sjofle med danskernes data?

Efter min opfattelse er det ikke det samme, for det kræver en teknisk viden at gennemskue, at man risikerer at komme ind på en "forbudt" side, ved at ændre i url.

Som jeg tidligere har skrevet, så ville jeg have forventet, at hvis jeg fjerner "_secure" fra en url, så kommer jeg til en del af hjemmesiden, som IKKE kræver særlige rettigheder. Eks.: "/deltagerliste" ser for mig uskyldigt ud - men det er det jo åbenbart ikke nødvendigvis, hvis der burde have stået "/deltagerliste/_secure" (eller hvordan den slags nu ser ud).

Om så Jonas har været klar over, at der kunne være et problem, det ved jeg så ikke. Men selv hvis han har vidst det, så er det for mig at se både menneskeligt og fornuftigt, at han undersøger problemet, så længe han melder det til rette instanser uden at misbruge det.

Det svarer jo til at rende rundt og kontrollere om døre og vinduer skulle være låst hos andre mennesker... Det er i hvert fald en "service", jeg gerne ville have mig frabedt uopfordret. Hvad nu hvis skolen havde opdaget det inden han havde nået at kontakte Datatilsynet? Skulle han slippe for forsøg på hacking blot på en forklaring om at "han jo havde tænkt sig at ringe til Datatilsynet lige om lidt"? Så er det sgu for nemt...

Hvis du vil penteste noget, så må du bede om lov først. Længere er den sgu ikke.

Hvis du vil penteste noget, så må du bede om lov først. Længere er den sgu ikke.

Det er jeg enig i.

Og hvis man ved et tilfælde opdager et sikkerhedsproblem, så har man pligt til at give systemejeren besked som den første.

Så hvis jeg i min grænseløse uvidenhed kommer til at taste en url, som går ind bag en sikkerhedslås, som jeg slet ikke vidste, skulle være der, så er jeg pr. definition hacker?

Internettet er altså ikke helt så indlysende at gennemskue som fremmede mennesker døre.

Mailadresser her: http://www.sceu.dk/organisation

SÅ moralen er, at når du næste gang opdager noget, du tolker som ulovligt på din arbejdsplads/uddannelsesinstitution/... så skal du først melde det til ledelsen - og siden kan du gå til myndigheder og offentlighed?
Det tænkte Snowden heller ikke på

Man skal vist være rimeligt blåøjet for at tro, at han ikke havde en ide om hvad det var han havde gang i, Anne-Marie.

"Selvfølgelig skal han have en advarsel, egentligt burde han være blevet meldt til Politiet for hacking - det er det han har gjort."

Hvis det er hacking at skrive en URL forkert, så er der satme mange ondsindede hackere derude.

Det er muligt - det skal jeg ikke udtale mig om. Men jeg kunne altså selv være kommet til at gøre noget lignende, HELT uden at ane, at jeg var på vej ind på en "privat" side.

Og der er altså et par skridt fra, at man begynder at undre sig og tænke "hov, hvad er det her for noget", til at man bliver sikker på, at man måske er på vej ind på forbudt område. Man undersøger jo lige sagen lidt først, inden man konkluderer, at her må man vist hellere stoppe. Det, synes jeg, er helt menneskeligt. Ellers kunne man jo lige så godt ende med at gå glip af helt lovligt indhold.

Hvis man virkeligt kan blive hacker blot ved at taste forbudte tegn i url, så vil jeg da opfordre til, at nogen med styr på den slags udgiver en "What not to do in an URL - for dummies", så amatører ikke uforvarende havner bag tremmer (vel vidende, at en sådan "manual" jo kan bruges med omvendt fortegn ;-) ).

Nej, det er ikke vejen frem at kriminalisere sådanne tilfældige fund. Fokus må være på, at det er systemerne, der skal være hævet over den slags sårbarheder.

Hvordan kan elever på åbne wifi, eller bare skolens lukkede wifi, adgang til at slå op i administrationsnetværket? Hvorfor er de ikke på forskellige VLAN?

Hvorfor kan den skoledirektør der sidde og sige sådan? Lyder som en sur primadonna.

Hvis det er hacking at skrive en URL forkert, så er der satme mange ondsindede hackere derude.

Det er trist at historien om Valushackeren er blevet skrubbet fra internettet. Den var ellers illustrativ.

Mon ikke den gode direktør for Selandia mener: "Vi foretrækker helt generelt, at eleverne IKKE...".
;-\
Per

Hvis man virkeligt kan blive hacker blot ved at taste forbudte tegn i url, så vil jeg da opfordre til, at nogen med styr på den slags udgiver en "What not to do in an URL - for dummies", så amatører ikke uforvarende havner bag tremmer (vel vidende, at en sådan "manual" jo kan bruges med omvendt fortegn ;-) ).

99,9% af alle exploits bliver foretaget fordi programmøren ikke checker input til hans web-vendte kode og al input fra brugeren over http foregår vha url'en (GET), eller i http data (POST), eller i form af cookies (http headeren).

For det meste kan man teste url's af for at se om nogle af parametrene /getStuff?id=23
direkte bliver brugt ved database opslag og derefter udnytte dette til at foretage et andet
opslag, end det der var tilsigtet, evt opslag i bruger databasen etc.

Så jo exploits af webapps foregår også via url'en, hvilket er de fejl man finder hurtigst,
hvis systemudvikleren ikke har en fis forstand på hvordan tingene virker.

Den fejl Jonas har fundet er endnu værre og endnu mere bekymrende at system
udvikler ikke har fundet. Som udvikler undrer det mig at en sådan fejl overhovedet
er at finde i et professionelt system.

Apropos manual til hvad man kan gøre i en url, skal du læse lidt op på stoffet,
du kan ikke bare forvente at få en liste over ting du kan gøre for at teste for sql injections,
null byte exploits, cookie stealing, buffer overflows (sjældent nu i webapps),
directory traversal etc.

Læs lidt op på stoffet, du kan evt. hygge dig her:
https://www.hackthissite.org/

Man går ind med sin smartphone på www.lectio.dk – og vælger et passende gymnasie – eksempelvis ”Nordsjællands Grundskole og Gymnasium” : http://www.lectio.dk/lectio/63/default.aspx?lecafdeling=4733693144

Herefter er det blot at klikke på ”Elev” – og derefter vælter det frem med navne, der måske kan have interesse for personer med kriminelle hensigter. http://www.lectio.dk/lectio/63/FindSkema.aspx?type=elev

Klikker man på den enkelte elev, ser man omgående hvor på skolen eleven måtte befinde sig – et tilfældigt eksempel : http://www.lectio.dk/lectio/63/SkemaNy.aspx?type=elev&elevid=1520779371

Øvrige planer – f.eks. om ekskursioner, lærernes navne, etc – lader sig også afsløre ved at klikke på f.eks. de enkelte dele af skemaet.

Endvidere kan alle og enhver følge personalets sygedage, etc – jvf http://gymnasieskolen.dk/kritik-af-lectios-%C3%A5benhed – hvilket for os at se burde være en sag udelukkende mellem den enkelte lærer og skolen.

For os at se udgør Lectio-s totale åbenhed en alvorlig sikkerhedsrisiko – velhavende borgere har hidtil trygt kunnet sende deres børn i gymnasiet – men den tryghed ved at lade sit barn søge beskyttelse i mængden af elever er for mig at se borte.

/MW

Så fandt Ekstrabladet historien.

http://ekstrabladet.dk/nyheder/samfund/direktoer-straffer-elev-som-opdag...

Hvis man skulle tage det for 'gode varer' at korsfæste budbringeren, er her et foreslag til et system á lá politiets nye 'kasse-vogne':

1. Staten (den kære formynder) lovgiver at alle ikke-oprettede .dk-domains skal pege på ca-tjing.jm.dk
2. Ender du på denne adresse er det fordi du har tastet en URL som ikke eksisterer, og dermed har udført hacking, hvilket takseres til en administrativ bøde på kr.500,-

Systemet har den fordel at det kan drives af embedsmænd uden faglig indsigt.
Embedsmændene kan endda få bonus efter måltal.

Snart vil alle offentlige hjemmesider erstatte 404-siden med en redirect til ca-tjing.jm.dk.

Når hr og fru Danmark bliver bedre til at undgå dummebøderne, og bonus'erne er i fare, vil vi begynde at erfare hvad 'dynamiske hjemmesider' virkeligt betyder.

K

Jeg synes det er utroligt at alle er enten på Jonas' side og mener at skolen bærer hele skylden fordi de er lemfældige i deres omgang med sikkerheden, eller på skolens side og mener at Jonas begik en forbrydelse ved at hacke systemet.

Det må da være indlysende at den ene ikke udelukker den anden!?
"The test of a first-rate intelligence is the ability to hold two opposed ideas in mind at the same time and still retain the ability to function". - F. Scott Fitzgerald

Skolen skulle helt klart have bedre styr på sikkerheden, og de skulle helt klart have håndteret sagen helt anderledes (som i, Novra! De burde ansætte en medievant talsperson), men det kan heller ikke nægtes at Jonas har overtrådt nogle regler ved at forsøge at få adgang til oplysninger han ikke burde kunne se. Det faktum at det var for nemt for ham at finde, har da ingen indflydelse på om han har lov til at lede efter dem. Vi taler om lovens bogstav her, ikke om hvad ens gut-feeling er.
Hvis en cykel står ulåst er det stadig ulovligt at stjæle den. Længere er den ikke.

Personligt synes jeg da også at Jonas har gjort det helt rigtige ved at kontakte Datatilsynet, og først langt senere er gået til medierne (selv om jeg nok ville mene at han også burde have skrevet til skolen undervejs inden da), men min personlige mening betyder nu engang ikke noget særligt i forhold til lovgivningen.

Peter Christiansen:

Tak for en masse input, men jeg vil jo netop helst IKKE ufrivilligt komme til at teste noget som helst - vil bare gerne være advaret om de værste faldgruber, når jeg surfer. Men det er måske også det, du mener?

Men har du et svar på mit tidligere spørgsmål - om man kan komme ind på forbudt område ved at ændre på årstal i url, f.eks. i forbindelse med biblioteker med referater?

Vi taler om lovens bogstav her, ikke om hvad ens gut-feeling er.

Jeg ved ikke hvad andre arbejder med her på forummet, men selv er jeg system administrator og hvis nogle kom og fortalte mig "hey just FYI, i har et problem her og her". Så vil jeg sige tak og tag en dialog med vedkommet for en løsning, i stedet for at finde nummeret til min advokat.

Når vi snakker sikkerhed og hacking, så vil det være sundt med en dialog omkring emnet. For skal vi være en nation af personer der ikke kan teste sikkerheden og blindt tro på hvad industrien giver os? Fanme nej, og grundlaget for det er at alt for mange gange har de fejlet på samtlige områder af industrien.

Og vi skal da heller ikke straffe personer som Jonas for at sætte fokus på det her. I sidste ende kan det være en elev det går ud over da vi i DK har meget svært ved at få et nyt CPR nummer så frem vores nuværende skulle falde i de forkerte hænder. Er det fair for den elev det går ud over fordi skolen ikke tager sit ansvar seriøst?

Og har Jonas overhoved gjort noget forkert?? Han havde et wifi det stod åbent for alle som gav ham offentlig adgang til en skole-hjemmeside der godt nok havde en skoleID form for at komme videre. Men Jonas går jo på skolen, og stod der "kun adgang for x og x eller lærer"?

Helt skråt, hvis ikke siden indikere at siden er privat i en eller anden sammenhæng så må man vel anse den som offentlig, især da netværket den ligger på et offentligt netværk.

I USA er der en gammel sag at nogle universitets elever fik adgang til en router igennem ssh. Her var motd "welcome". Eleverne fik adgang ved at gætte eller bruteforce (i honestly dont know) login sekvensen og herefter tiltalt for "lovbrud". Men frikendt fordi der stod "welcome". Så hvad er lovens bogstav på denne front i DK?

@Anne-Marie,

Er det moralsk i orden at dele en funden sikkerhedsrisiko til medier og andre, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet?

og de skulle helt klart have håndteret sagen helt anderledes (som i, Novra! De burde ansætte en medievant talsperson)

Nej, de bør IKKE ansætte en medievant talsperson.
Der er ikke behov for at omskrive ledelsens vrid i elevens kønskirtler.
Det bliver ikke kønnere af at blive pakket ind.

Ligegyldigt hvordan - eller hvor flot - du pakker en l*rt ind, så er det stadigt ildelugtende og kan eksplodere når du ikke ønsker det.

Skolen bør have en ledelse med 'fingerspitzgefühl'.
En ledelse som opfører sig ordentligt, istedet for at 'tryne' eleverne.(som skolen jo skal vejlede og uddanne)

Ikke en spindoktor til at pakke ledelsens gorillaopførsel ind.

K

Peter Jensen:

I mine øjne - Ja! Jeg ville selv vælge den løsning, fordi jeg er meget beymret over udviklingen på persondataområdet, og mener, at det er vigtigt med et centralt overblik over omfanget af den slags problemer i samfundet. Som jeg ser det, har skolen overtrådt loven ved ikke at sikre data ordentligt, og den slags melder man til Datatilsynet.

Det er jo sikkert utilsigtet fra skolens side, nøjagtigt som Jonas utilsigtet blev klar over dette hul - ikke i den hensigt at hacke. Men vi har ikke fået at vide, hvorfor det tog over 14 dage at lukke hullet? Hvor i systemet kiksede dette?

Ved at gå til Datatilsynet bliver det registreret, således at man har dokumentation, såfremt det skulle vise sig, at der har fundet misbrug sted. Har man overhovedet fulgt op på, om der HAR fundet misbrug sted, inden hullet blev opdaget? Har man tjekket logs for at se, om der har været uatoriseret adgang? Det står hen i det uvisse.

Sådan som både offentlige og private sjusker med datasikkerheden, så er der efter min mening kun en vej frem - meld det hver gang! Der skal ikke være nogen smutveje til, at den slags hændelser "gemmes" rundt omkring.

Om Jonas så OGSÅ kunne have orienteret skolen - måske. Jeg ved ikke, hvad grunden var til, at han ikke gjorde det. Men han fik jo lovning fra Datatilsynet på, at DE gik videre til skole og STIL, så hvorfor skulle han egentligt også selv gøre det?

Nej, i mine øjne er det interessante i denne historie ikke, om Jonas kunne have meldt på den ene eller den anden måde. Det interessante er, at der stadig er den slags åbenbart begynderfejl i offentlige systemer (og i private), og at responstiden på udbedring er så lang. Det tyder på, at man ikke tager sikkerheden alvorligt nok.

Nej, de bør IKKE ansætte en medievant talsperson.
Der er ikke behov for at omskrive ledelsens vrid i elevens kønskirtler.
Det bliver ikke kønnere af at blive pakket ind.

Fair enough. Det har du ret i, Kenn.
Det er ikke kun deres holdning udadtil der er gal, men deres politik (som lader til at være formuleret on the fly af direktøren).
Det ville ikke koste dem en øre at have været mere imødekommende og løsningsorienterede, snarere end at blive børneformærmede.

Er det moralsk i orden at dele en funden sikkerhedsrisiko til medier og andre, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet?

Jeg 'blander mig lige'....

Ja, det er moralsk i orden at opdrage systemejeren til at tage sikkerhed alvorligt.

Ja, det er moralsk i orden at opdrage systemejeren som har data om dig til at tage sikkerhed alvorligt.

Ja, det er moralsk i orden at opdrage systemejeren til at tage sikkerhed alvorligt, ved at dele en funden sikkerhedsrisiko med relevante tilsyn, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet.

Ja, det er - i særdeleshed - moralsk i orden at opdrage systemejeren til at tage sikkerhed alvorligt, ved at dele en funden sikkerhedsrisiko med relevante tilsyn, og lade tilsynet om at orientere systemejeren og derved give denne mulighed for at lukke hullet.

Især når det kan forventes at ledelsen bliver agressiv fordi du har rokket med abeburet, er den sidste mulighed det eneste ansvarlige alternativ til ligegyldighed.

K

Hej Anne-Marie,
ja det er klassikeren at ændre en url f.eks som du siger ved at ændre årstallet, så man f.eks kan se artikler fra andre år som det muligvis ikke er links til på sitet man besøger.

Det skal du ikke være bange for, du har højst sandsynligt handlet i god tro og kan ikke klandres for det. En ændring i url'en i den stil vil jeg ikke kalde hacking, men et simpelt opslag eller afprøvning af en adresse.

NB. jeg ville skrive noget mere for at give nogle opklarende eksempler,
men jeg fik hele tiden en fejlmeddelelse når jeg postede et længere svar.

Tak for beroligelsen, Peter.

Jeg er så i princippet hacker, men altså i god tro - det er bedre end ingenting :-)

Hvis du begyndte at "teste" en url som denne:

http://www.example.com/books?id=23

Med:
http://www.example.com/books?id=23 union select userid,password from userTable

For at snyde et dårligt system til at udlevere bruger databasen,
kunne man sandsynligvis godt fornemme at du kunne være i ond tro,
ELLER du kunne være i godt tro og melde fejlen før andre misbrugte data.

Derfor mener jeg at det er system udviklerens hele og fulde ansvar,
det er ikke så svært at sikre sig nogenlunde. De fejl vi ser rapporteret her på version2,
er som regel de fejl det tager 10 minutter at finde, hvilket igen
siger noget om udvikler uvidenhed / ignorance i bred forstand.

Det svarer jo til at rende rundt og kontrollere om døre og vinduer skulle være låst hos andre mennesker..

Sikke noget vrøvl! Han går på skolen og har direkte interesse i at dataene er beskyttede!! Han er ikke en fremmed, der checker døre.

Gør han det, så er han golden, og så kan han gå til diverse medier alt det han vil. Så bør han gøre det, men ALDRIG ALDRIG før. Det er svinsk og hjælper egentligt kun til, at flere mennesker kommer til at kende et potentielt farligt sikkerhedshul.

Henrik Petersen må kende skolen og dens folk personligt, siden han så sikkert kan skrive at hvis Jonas havde håndteret det anderledes, så havde han været "golden".
Ellers er det jo noget af en antagelse og svare til den jeg selv laver i dette indlæg....... ;)

Ingen af os ved vel egentlig hvad forløbet havde været hvis han var gået direkte til skolen først.

Er det moralsk i orden at dele en funden sikkerhedsrisiko til medier og andre, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet?

Jada - Der skal åbenbart doseres en hel del klor til andedammen för vi får bugt med disse sammenspiste, anvarslöse, "systemejere" og deres skod-leverandörer.

Hvis man ikke kan acceptere realiteterne som de er: At man har leveret, h.h.v. indköbt, noget pinligt dårligt skrammel og det er så pinligt dårligt at at disse forhold er synlige direkte "på kommando-linien" (d.v.s. at man ikke testede / er ligeglad) for sådan cirka ... Internettet ... så er den bedste, mest humane, lösning for alle parter at klovnerne går konkurs / fyres og eventuelt finder sig en anden beskäftigelse med mindre fuck-up potentiale end Offentligt IT.

Det kunne väre rigtigt sjovt at nogen andre, for eksempel Datatilsynet, lavede en rigtig PEN-test på systemet. En 3-4 konsulent-timer er formodentligt rigeligt til at bedömme kvaliteten.

Hvem er det, som har programmeret det lort - hvor man bare kan redigere lidt i URL'en? Den person burde fyres - og sortlistes, så han fremover ikke kan ansættes i et IT relateret erhverv i det offentlige.

Hvis Jonas har "hacket systemet" og snaget i hemmelige filer, så har skolen vel en audit log, der kan fortælle om den slags? Jeg mener: Hvis man har et system med følsomme oplysninger, så er det jo ikke blot vigtigt at beskytte oplysningerne, men også at kunne dokumentere, hvem der har haft adgang til hvad og hvornår.

Kan det ikke tænkes at systemkonstruktøren har lært sit fag hos CSC?

Er der nogen med kendskab til CPR der kan vurdere om der også var adgang til adresse information for personer med beskyttet adresse?
Forskellen mellem stor fejltagelse og katastrofe...

Easy-P er ikke skolens system, men STILs. Skolen har kun noget med netværket at gøre, systemet/hjemmesiden har heletiden været hos STIL.

OT, men jo - det tænkte og forsøgte Snowden på: http://www.ibtimes.com/nsa-admits-retaining-snowden-emails-despite-claim...

Så vidt jeg kan se ud fra de to artikler i version2, er en advarsel til Jonas Boserup helt berettiget, omend med en anden begrundelse end den, der har forårsaget den givne advarsel.

Havde Jonas handlet forsvarligt, havde han indgivet politianmeldelse af skolen for at eksponere personfølsomme oplysninger.

Så vidt jeg kan se ud fra de to artikler i version2, er en advarsel til Jonas Boserup helt berettiget, omend med en anden begrundelse end den, der har forårsaget den givne advarsel.

Havde Jonas handlet forsvarligt, havde han indgivet politianmeldelse af skolen for at eksponere personfølsomme oplysninger.

Det er morsomt at se hvor lidt segmentet her forstår af indholdet i de skrevne indlæg. De stemmer din kommentar ned fordi de kun læser overskriften (og højest første linie), hvorefter deres flok-instinkt reagerer på dette. I deres sorte/hvide verden gælder følgende:

advarsel = ond, dum, skurk, nej
elev = god, klog, helt, ja

Tydeligvis gælder det i denne tråd kun om at kæmpe om hvem der kan overgå hvem i at bekræfte hinanden i at mene at skolen er ond og dum og eleven en uskyldig helt. Den reflekterende person burde indse at verden ikke er så sort/hvid.

Men jeg forudser såmænd også at dette indlæg vil blive stemt ned, da det bryder med flertallet af de i denne debat deltagendes virkelighedsopfattelse.

Det er trist at historien om Valushackeren er blevet skrubbet

Et simpelt google opslag -
http://www.computerworld.dk/art/26013/mild-dom-til-valus-hacker-to-frifu...
siger den ikke er.

Men ja, den og dens dom er meget relevante for nærværende situation, da den også omhandler URL ændring.

Den oprindelige opdager bliver frikendt for at have hacket, medens 3 personer som efterfølgende har anvendt den offentliggjorte information bliver dømt for hærværk (URLen fik hjemmesiden til at gå ned).

Så nej, det at "kigge ind af vinduerne" ved at skifte URLen, er ikke hacking i lovens forstand.

Havde Jonas handlet forsvarligt, havde han indgivet politianmeldelse af skolen for at eksponere personfølsomme oplysninger.

Politianmeldelse? Er det ikke Datatilsynet der plejer at lave sådan en, ved brud på persondataloven?

Se i øvrigt http://www.version2.dk/artikel/gymnasieelev-fik-adgang-til-cpr-database-...

"Teknisk set svarer det jo til at man trykker et håndtag ned for at se om døren så kan åbnes. Dermed har man jo til hensigt at opnå en adgang man ikke har opnået tilladelse til."

Nej. Det svarer til at han bladrer i en bog han har fået udleveret af skolen, hvor der er nogen sider i bogen der ikke skulle have været udleveret til eleverne.

Hvis man gør et website tilgængeligt for nogle brugere af et netværk, må man også regne med at alle sider der er publiceret på dette site vil blive læst af brugere på dette netværk. Det nytter ikke noget at sige at det er uatoriseret adfærd.

Autorisation til adgang skal kontroleres af identification og authentication (ups - jeg ved ikke lige hvad det hedder på dansk - har ikke arbejdet med emnet i danmark)

Mvh.
Steen Christensen
Information Risk Manager
CISSP, CRISC, CISA

"Man går ind med sin smartphone på www.lectio.dk – og vælger et passende gymnasie – eksempelvis ”Nordsjællands Grundskole og Gymnasium”"

Det er godt nok stygt. Så kan man f.eks. se hvornår en navngiven lærer ikke er hjemme. Det giver fred hvis man vil lave et rask lille indbrud.

I øvrigt forbløffende så specielle navnene er. Er der slet ikke nogen mere i Danmark der hedder noget så traditionelt simpelt som Jens Hansen ?

authentication (ups - jeg ved ikke lige hvad det hedder på dansk

På dansk skyder vi et ekstra 'fi' ind i endelsen, så det bliver til autentifikation.

Se Wikipedia - Autenticitet

Fastlæggelse af autenticitet kaldes autentifikation.

samt Rådet for Digital Sikkerhed

Jeg har som Jonas, selv kontaktet danske firmaer som TDC, TV2, Elevplan med dvs. huller og STIL's reaktionen er ikke ualmindelig. Typisk vil store virksomheder enten ignorere henvendelsen, da den ofte ender hos en eller anden inkompetent kundeservicemedarbejder, eller spørge hvorfor fanden man leger med deres system; ofte efterfulgt af en trussel om politianmeldelse og erstatningskrav.
Altså giver man virksomheden information, der potentielt set kan spare dem mange millioner, og modtager til gengæld en ubehagelig besked om, at man risikerer at blive straffet. Sikke et incitament det skaber! Derfor kan jeg kun anbefale personer i Jonas' situation, til at levere sådanne oplysninger anonymt.

Danske virksomheder har tilsynladende ikke fattet hvor alvorligt IT-sikkerhed er.
Gør det strafbart at ignorere sådanne henvendelser, og gør det lovligt at oplyse om dem.

Mvh. Rasmus C.

samt Rådet for Digital Sikkerhed

Den kendte jeg ikke. Tak for link.

No further comments.

Vel forskellen til Valus-sagen er, at det var en bank som havde ganske simple SQL injection huller. Alt andet lige, når du - offentligt - praler med at kunne tage vare på folks penge, så er det nødvendigt du også har absolut kendskab til sikkerheden bag. Og ja, SQL injection var måske forholdsvist nyt (selvom parameterized queries var implementeret helt tilbage i nogle af de første versioner af ASP, så så nyt var det heller ikke), men der er ingen undskyldning for lige netop en bank for ikke at være fuldstændigt på forkant med sikkerheden. Ingen.

Det fritager selvfølgelig ikke skolen for et ansvar. Og ja, de har efter min mening ganske givet overreageret, og her ligner sagen da lidt Valus, da de anklager budbringeren for at flytte fokus fra egne fejl. Eleven har sådan set handlet etisk korrekt, jeg kan ikke se, hvordan han ellers skulle have reageret. Men de to situationer er ikke ens. Skolen garanterer ikke for nogen sikkerhed. Banken gør, ellers er det ikke en bank. Der er iøvrigt også særlige standarder for bank.sikkerhed, ved ikke om der er for skole web, men tror det ikke.

Skolen garanterer ikke for nogen sikkerhed

Skolen har vel pligt til at garantere for elevernes persondatasikkerhed?

Jeg kan godt se, hvad du mener, men jeg mener egentlig stadig, at der bør være højere sikkerhed i en bank end i et skolenetværk. Eller mere korrekt dansk, at banken nok bør sætte den allerhøjeste sikkerhedsstandard, og alle andre bør forsøge art opnå det samme, men... man får også hvad man betaler for. Og altså, tror du skolerne har råd til at holde audits på samme måde som bankerne? Ville da være dejligt, hvis de kunne, men det koster altså penge, og jeg tror bare det blvier hammer svært. Så dér hvor jeg ville fokusere var i stedet netop på at tage henvendelser som den fra eleven seriøst, så man kunne få noget gratis sikkerhedshjælp i stedet.

Skolen har vel pligt til at garantere for elevernes persondatasikkerhed?

Alle der håndtere personfølsomme oplysninger har pligt til at opbevare disse sikkert i forhold til loven.

banken nok bør sætte den allerhøjeste sikkerhedsstandard, og alle andre bør forsøge art opnå det samme

Dette er jo et eksempel på, at man ikke en gang gider at gøre forsøget.
Den økonomiske beregning er meget enkel:

Ingen sikkerhed: 0 kr.
Sikkerhed: tusinder af kroner.
Ulemper ved ingen sikkerhed: Mildt ubehag, ingen bøder, ingen fængsel.
Risiko: Minimal.

Det er altså svært at se, hvordan det skal blive bedre med den nuværende lovgivning.

heh, jeg troede lige et sekund at elev-id var CPR.. Ellers god info..!

For at citere Steen Christensens indlæg fra i fredags - vedr.

"Det er godt nok stygt. Så kan man f.eks. se hvornår en navngiven lærer ikke er hjemme. Det giver fred hvis man vil lave et rask lille indbrud."

Direkte adspurgt om man da ikke - set i lyset af skoleskyderier, samt Utöya hændelsen - ønsker at begrænse uvedkommende personers adgang til skema-data - svarer Lectio systemets indehaver MACOM :

Sendt: 14. marts 2012 15:24
Til: Mogens Winther
Emne: RE: Svar fra Christine Antorini

Kære Mogens,

Tak for din henvendelse. Lectio skemaer har været åben og bygget på den åbne netadgang siden starten for 9 år siden. Det er ikke noget vi har i sinde at ændre på og det er ikke noget den enkelte skole har mulighed for at ændre i deres opsætning. Derimod er der meget data, der ligger beskyttet af adgangs login.

Med Venlig Hilsen

Camilla Feldvoss

MaCom A/S
Vesterbrogade 48, 1.
1620 København V
Telefon: 33 79 79 00
Telefax: 33 79 79 84
Web: www.macom.dk

firmaet er med andre ord TOTALT ligeglad med elevernes og de ansattes sikkerhed

I Tyskland er den type sløset adfærd med skoleskemaer, navnelister og lignende forbudt - Ifølge https://www.datenschutzzentrum.de/faq/schule2.htm#iv9 hedder det :
”Darüber hinaus ist zu bedenken, dass durch die Veröffentlichung von Vertretungsplänen auf der Schulhomepage nicht nur der eingeschränkte Adressatenkreis der Schulöffentlichkeit Zugang zu diesen Informationen hat, sondern jeder Nutzer des Internet weltweit. Wegen der fehlenden Erforderlichkeit und des unbestimmten Adressatenkreises ist eine Veröffentlichung von Namen oder Namenskürzeln der Lehrkräfte daher unzulässig.”

Rune Jensen:

Hvorfor mener du, at bankerne bør sætte standarden? Fordi de har flere penge, eller fordi de passer på andre folks penge?

Egentlig synes jeg, at følsomme persondata af typen "mere private data end blot økonomi" (eks. karakterer, fravær, sundhedsproblemer etc.), må kræve at blive taget mindst lige så alvorligt som økonomiske persondata.

Og hvis man sætter kravene efter virksomhedens økonomi (hvis det er det, du mener), så åbner man vel for, at mere skumle typer blot opretter et lille fattigt firma, finder en måde at hente data på, og så lader disse "lække" (mod betaling, selvfølgelig), med den undskyldning, at man ikke har råd til ordentlig sikkerhed?

Nej, jeg synes ikke, der bør være huller i sikkerheden omkring persondata - for når først de er lækket, så er der jo ingen måde at fange dem ind igen på.