Gymnasieelev fik adgang til CPR-database ved at fjerne ‘_secure’ fra URL

For at sikre, at udstyret altid fungerer tilfredsstillende, og at skolens image over for omverdenen ikke bliver unødigt belastet, er det nødvendigt, at du har en professionel holdning til anvendelse af it.

Mon ikke denne sætning har været tænkt som myntet på at opføre sig "pinligt" på nettet på en måde, der kan give skolen et dårligt ry? Porno, mobning, piratdownload etc?

At pålægge eleverne at holde mund med lovbrud, der kan medføre, eller måske allerede har medført?, læk af cpr og andre personfølsommeoplysninger - Nej vel?

Det var da vist en sådan mørklægning, som CSC og andre er blevet bebrejdet i stor stil, så det kan vel kun være fordi, der her "blot" er tale om en skole, at man ikke ser det som lige så alvorligt. Men hvorfor egentligt ikke?

Hvem ved egentligt på nuværende tidspunkt, om andre har været inde og snuse, inden Jonas opdagede hullet? Hvem ved, om det allerede KAN være blevet misbrugt?

Så hvorfor er det en mindre skandale end hos CSC (jeg erkender, at csc-sagen lige nu er lidt ulden i min erindring, så det er muligt, at jeg skyder over målet med denne sammenligning).

Det er godt, at Version2 prøver at klarlægge, hvad der er op og ned i denne sag, keep up the good work!

stil.dk behandler persondata for diverse uddannelsesinstitutioner, bl.a. sceu.dk. Jf PDL §41 stk3 skal der træffes de fornødne tekniske og organisatoriske mod, at oplysninger [...] kommer til uvedkommendes kendskab. Det er ikke overholdt, eftersom data faktisk kunne tilgås uden login.

Justitsministeren har med hjemmel i §41 stk5 udstedt Sikkerhedsbekendtgørelsen, der præciserer reglerne for behandling af persondata for det offentlige, hvor §3 gentager kravet fra PDL §41 stk3, og §4 angiver at Datatilsynet er tilsynsmyndighed. Jonas har således henvendt sig til rette instans med sin bekymring. Nogle mener, at han først burde have henvendt sig til Dataansvarlig og/eller Databehandler, men som analogi kan en spritbilist ikke forvente, endsige kræve, at vidner siger til før forholdet meldes til politiet.

STIL har kunnet læse om anmelders navn og metode på Version2, men det fremgår ikke af artiklerne, hvorvidt Datatilsynet har udvist diskretion mht anmelders identitet. Af hensyn til tilsynets fremtidige virke håber jeg, at de ikke har afsløret anmelder. Hvorfor Version2 ikke har beskyttet sin kilde, ved jeg ikke.

Det må undre, hvis STIL har 'anmeldt' Jonas til Selandia for hacking. Hvis STIL mener, at Jonas har overtrådt STRL §263 stk2 (den, som uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem) er det Politiet, de skal henvende sig til. Er det mon fordi man vurderer, at sagen ikke vil holde i byretten? Efter det oplyste har Jonas kun søgt informationer om personer, han havde aftale med, og behandlet de fundne oplysninger med diskretion. Kan formålet være at ramme anmelder uden om retssystemet? Simpel hævn?

Ifølge [Selandias Ordensreglement] (http://www.sceu.dk/studie-ordensregler-htx-hhx) vil der ske politianmeldelse ved overtrædelse af lovgivningen. Det er ikke sket, så måske mener skolen heller ikke, at sagen vil holde i byretten? Tilbage er så denne passus, der måske i grove tilfælde kan berettige en advarsel:For at sikre, at udstyret altid fungerer tilfredsstillende, og at skolens image over for omverdenen ikke bliver unødigt belastet, er det nødvendigt, at du har en professionel holdning til anvendelse af it.

Det kan så diskuteres ad nauseam, hvem der har eller ikke har udvist "professionel holdning," men det ligger vist fast, at Selandia og STIL ikke havde opfyldt kravene i SBK.

Kære læsere

Som flere af jer også har opfordret redaktionen til, er vi i gang med at undersøge fakta i denne sag nærmere. Herunder hvordan Datatilsynet anbefaler, at man begår sig, hvis man opdager et hul i en database. Om de behandler anonyme tip mv.

Vi undersøger også det juridiske grundlag for at give eleven en advarsel.

Tak for de mange kommentarer. Det er en væsentligt debat.

Tillad mig at understrege, at vores debat skal holdes i en saglig tone og fokusere på substansen. Som langt de fleste gør.

Der er enkelte svipsere, hvor man anvender stærkt nedladende udtryk om bestemte parter i sagen. Dette fremmer ikke at vi kommer konstruktivt videre.

Med venlig hilsen

Henning Mølsted, redaktør, Version2

Ja, man bør opføre sig som en helt. Helte lever bare ikke så længe. Hvor mange af os ville løbe en risiko for at blive sortlistet, få pletter på straffeattesten, blive bortvist eller hvad det nu kan være? Vi er nødt til at have en rimelig støtte i lovene, før man kan kræve af folk, at de agerer helte. Jeg skal nok sende denne tråd til MIT parti. Så må I andre tage jer af jeres respektive partier.

»En anden gang vil jeg opfordre den meget opfindsomme unge mand til at tage fat i os direkte.« Underforstået "så vi undgår at komme i medierne med sådanne pinligheder".

Nej, det skal netop sprøjtes ud så alle kan se hvilket makværk vores offentlige institutioner bruger milliarder på.

Måske kunne Version2 få Datatilsynet til at skære ud i pap for os alle, hvad det er tanken, man skal gøre, hvis man uforvarende snubler over et sikkerhedshul?

Holde kæft, og lade ulykkerne gå sin gang?

Eller være whistleblower og tage sin straf som en mand/kvinde/ægte helt?

[quote id=315902] Retspraksis kræver jo at der rejses sigtelse, og fældes en dom. Det ser og hører vi jo ikke noget til, selvom der bla. i nærværende medie er masser af eksempler på lemfældig omgang med personlige data.

Det betyder jo så netop, at på trods af lovtekster, så er det i praksis straffrit. [quote]

Det var da frygteligt ærgerligt. Spørgsmålet er så om, hvis det er muligt, for at sikre sin retsbevidsthed på området, det er nødvendigt at føre en sag mod STIL under privat påtale?

Det største problem jeg ser er nok vi ikke helt ved præcist hvad Persondataloven mener med "fornødne tekniske foranstaltninger". Det er vel til fri fortolkning, som det ser ud nu?

Jeg kommer til at tænke (det er farligt): Fik du en advarsel for at have kontaktet Datatilsynet i stedet for Skolen og Styrelsen? For så er der da tale om alt muligt grimt. At true folk til at fortie kriminelle forhold, trusler mod vidner eller andet saftigt.

har ingen ondt af. Og hvad hackere ved, men som hverken Version2 eller Ekstrabladet ved noget om, gør heller ingen skade. Det er åbenbart "filosofien". Jeg fandt engang et mindre hul i et meget brugt system. Ikke noget jeg ledte efter og jeg fik heller ikke adgang til andres data, men jeg skal åbenbart være glad for, at jeg ikke fik en sag i hovedet "som tak". Men hullet kunne virkelig have givet anledning til voldsomme gerninger, hvis andre fandt på at bruge det. Det var ikke en åben ladeport, laden var revet ned. Så det har været særdeles nemt tilgængeligt. Mere tør jeg ikke skrive.

"Er det gældende retspraksis at den dataansvarlige/databehandleren, som ikke passer ordentligt på personhenførbare oplysninger hvor data kan lækkes, er fritaget for straf?"

Retspraksis kræver jo at der rejses sigtelse, og fældes en dom. Det ser og hører vi jo ikke noget til, selvom der bla. i nærværende medie er masser af eksempler på lemfældig omgang med personlige data.

Det betyder jo så netop, at på trods af lovtekster, så er det i praksis straffrit.

b) Efter gældende praksis i Danmark, så er hun ansvarsfri, selv hvis det kan bevises at hun ikke har opbevaret data forsvarligt.

Det kan selvfølgelig være at det bare er mig der har misforstået noget, men jeg forstår ikke ovenstående?

Er det gældende retspraksis at den dataansvarlige/databehandleren, som ikke passer ordentligt på personhenførbare oplysninger hvor data kan lækkes, er fritaget for straf? Jeg er klar over at lovens rammer til tider ikke stemmer overens med gældende retspraksis, men rent juridisk foreskriver Persondatalovens § 41, stk. 3 at:

Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Det er selvfølgelig et vurderingsspørgsmål (som altid) men jeg mener ikke umiddelbart at STIL har levet op til ovenstående krav fra Persondataloven.

Jonas Boserup har uden tvivl forbrudt sig mod Straffelovens § 263, stk. 2 - uanset om formålet defineres som white- eller blackhat formål. Men det er, efter min bedste overbevisning, en seperat sag og STIL bør kunne stilles til ansvar jf. persondataloven. Når det er sagt, så er den største bøde givet til dato udstedt tilbage i 2001 på 25.000 kr.

Ovenstående kommentar er også udgivet på Facebook: <a href="https://www.facebook.com/mr.boserup/posts/10206195938631496">https://ww…;

Sorry, this page isn't available The link you followed may be broken, or the page may have been removed.

Er det meningen, Jonas?

ved du hvor det står beskrevet?

Lige mine ord Michael. Problemet med den holdningsændring, som helt sikkert vil komme, er at den kræver martyriske indsatser ala Snowden - desværre lytter folk ikke (specielt folk med magt) til gode argumenter, men mere til larmende argumenter...

Personligt tror jeg at folk som Aino og vicerektoren er bange - de hører noget med skolens net og usikkerhed og ser en dreng der kan noget med computere, og straks tænker de HACKER, KRIMINEL og så er lynchen igang. De fleste folk har ikke en nuanceret tilgang til IT og IT-sikkerhed specielt. Måske man burde undervise i IT-sikkerhed på offentlige institutioner?

Gert: jeg er meget nysgerrig omkring det at Aino er ansvarsfri, ved du hvor det står beskrevet?

I den forbindelse kunne man spørge Aino: Hvad vil hun helst opleve:

a) Det er ikke Ainos data. Dvs. hun rammes ikke af, at elevernes personlige oplysninger bliver spredt på internettet. b) Efter gældende praksis i Danmark, så er hun ansvarsfri, selv hvis det kan bevises at hun ikke har opbevaret data forsvarligt.

Jonas, Tor er din ven, happy hunting :)

Må jeg lige benytte lejligheden til at opfordre alle til at have en Tor-node kørende.

Og det er lige præcist den slags kommentarer der er med til at "legitimere" reaktionen med at slå ned på budbringeren. Dette handler IKKE om at kunne lave ting anonymt på nettet.

Dette handler om at manden opdagede en fejl, undersøgte dens opfang og så rapporterede dette til rette myndighed. Der er ingen grund til at skjule sig her. Hvis ikke vi får den slags frem så bliver det aldrig bedre. Og hvis det ikke bliver bedre så vil det kun være til "de onde" hackeres fordel.

Desværre tror mange at hvis lige deres fejl kan forblive skjult så er de sikret. Hvis nu det var nogle andres sikkerhedsfejl der kom på forsiden af version2 så går det ikke ud over deres karriere. Det er en stakket frist, måske er deres sikkerhedshuller allerede opdaget og udnyttet uden at det er fremme i pressen. Vi skal have gjort op med den holdning.

I den forbindelse kunne man spørge Aino: Hvad vil hun helst opleve:

1. En hacker som Jonas der fortæller hvad han har lavet og i øvrigt ikke udnytter sin viden til at lave noget ondt.
2. En hacker som Gottfrid Svartholm der i det skjulte snuppede informationer og ingen ved hvor data er endt.

Uden folk som Jonas ender alle huller i sidste ende som CSC sager.

"Selv mod idioter kæmper guderne forgæves." Hvis man skal begynde med advarsler kan man lige så godt trække stregen i sandet og være forberedt.

Denne hetz på manden istedet for bolden ses nu gang på gang. Eneste andet træk tilbage er vel at oplyse om det via alternative kanaler med anonymitet og underret dagblade om dette... Ikke en god vej i min optik da samarbejde og forståelse højner sikkerheden og stabiliteten på softwaren.

Denne adfærd er kun muligt fordi der ikke er konsekvens ved utilstrækkelig kompetance eller uduelig ledelse inden for IT projekter.

Ovenstående kommentar er også udgivet på Facebook: <a href="https://www.facebook.com/mr.boserup/posts/10206195938631496">https://ww…;

Hej Jonas.

Hvis du vil have viral eksponering af din situation, vil jeg anbefale dig at sætte din Facebook-post til public.

Jonas, Tor er din ven, happy hunting :)

Må jeg lige benytte lejligheden til at opfordre alle til at have en Tor-node kørende.

Version2: Prøv at få et interview med den skoleleder/rektor/vicedirektør. De må da være interesseret i at komme i medierne som "dydens vogter" på IT området, så mon ikke de stiller op hvis I lokker med det rigtige ;-)

Desværre må jeg indse, at Selandias direktør og HTX vicerektor ikke har sat sig ind i sagen, og har valgt at give mig en verbal advarsel samt skærpet tilsyn af min adgang til skolens IT infrastruktur.

Her kunne man så ønske at ing.dk ville spørge ind til sagen på skolen. Det hører ingen steder hjemme at gå efter manden på den måde. Og specielt at en uddannelsesinstitution som skal uddanne unge til fornuftige men også kritiske samfundsborgere. Forseelsen svarer til at se en dør stå på klem og så åbne den for at råbe ind "er der er nogen hjemme?".

På trods af min generelle afsky ved ekstrabladet så så jeg gerne deres aggressive journalistik i denne sag.

Jonas, Tor er din ven, happy hunting :)

Ja, det er farligt at være whistleblower (men du er i fint selskab, Snowden eks. :-)) . Forhåbentlig kommer dine skoleansvarlige på bedre tanker, og sletter din advarsel. Hvis ikke (shame on them), så må du i stedet glæde dig over, at vi er mange herinde, der mener, at du har gjort det rigtige.

Held og lykke med din fremtidige skolegang - du skal nok blive til noget.

Hermed gjort. Tak for kommentar. Jeg vil foreslå Hans at tage kontakt til Esbjerg Kommune eller Datatilsynet om svagheden. Redaktionen kigger også på sagen.

+min anden kommentar her

Måske skulle version2 så af hensyn til den uge mand skynde sig at slette hans indlæg - eller i det mindste sløre stedet, der er tale om? Det ville være meget synd, hvis han kom i problemer, da han jo tydeligtvis er i god tro.

Kære Hans

Tak for din indlæg.

Det er en interessant observation, og det er sikkert ikke ment i ond tro, men jeg må bede dig om ikke at udgive anvisninger på hvordan man hacker sig ind på CPR-registre og følsomme personoplysninger. Version2 skal omtale privacy problemer for at forhindre at de sker og øge persondatasikkerheden - ikke det modsatte.

Med venlig hilsen

Henning Mølsted, redaktør, Version2

Muligvis skal nogle begavede politikere og mistroiske it-folk sætte sig sammen og diskutere problemet. Det duer ikke, at den person eller institution, der sjusker med sikkerheden (og i øvrigt heller ikke bare prøver på at rette op på det) er straffri, mens dem, der opdager fejlene, er forbrydere (med mindre de har en klar aftale med brugeren/leverandøren). For hverken brugere eller leverandører er vel spor interesserede i at blive kigget efter, for det kan jo tage tid og koste penge. Man kan heller ikke bare tillade "grey hat-hacking". Men det er stadig de ondeste hackere, der for alvor får virksomheder og institutioner til at tage sikkerhed alvorligt. Det er naturligvis naivt at håbe på, at en sådan kort tænkepause finder sted. Jeg har i hvert fald ikke det juridiske svar. Måske skal man have obligatorisk white hat-hacking fra et korps af .... ferme amatører? Palle Sørensen-typer (uden pistoler). Nej, jeg havde heller ikke fundet på at fjerne _secure. Men jeg ville jo også have risikeret job og frihed, hvis jeg havde. "Pay no attention to the hole behind the curtain!"

Dum, som jeg er, på dette felt, ville det ikke for mig være indlysende, at hvis jeg fjerner "_secure", så ryger jeg ind i noget "hemmeligt" og forbudt. Det er sikkert indlysende for folk, der ved, hvordan man bygger denne slags systemer op, men for os ikke-kyndige, der kan man lige så godt forvente at komme ind på noget lovligt.

For mig ville det umiddelbart være mere logisk at forvente, at når man fjerner "_secure", så kommer man ind på en del af siden, der ikke kræver særlig sikkerhed eller godkendelse.

Når man ikke kender en sides opbygning, og når man ikke har forstand på den slags, så er det da nogle gange nærliggende at prøve at ændre i adressen for at, hvad der gemmer sig af interesante - og fuldt lovlige - ting på siden. Der må jeg så åbenbart til at betragte mig som mulig hacker.

Sådan er det så forskelligt, hvordan vore hjerner fungerer....

Du skriver jo lige det vi andre tænker... Hvad gemmer sig under den ildelugtende sten..... L**T eller det som er værre.

Jeg gætter på det værre efter Aino Olsen's udtale.

mht. kompetance så har vi Emil Herskind.https://www.linkedin.com/pub/emil-herskind/3/57a/821Emil som selv har skrevet han står får deres sikkerhed. Læs selv.

Jeg tror det er en klassisk: "delt ansvar i det offentlige: Ansvaret deles ligeligt mellem 3 mennesker så de præcis har 2% ansvar hver."

Hvad er egentlig ansættelakrav for disse stillinger i det offentlige? Skal ikke have IT baggrund og være fra enten CBS(ikke IT tung) eller can.polit? Jeg er stadig forundret over de skandaler og hvem som sidder med ansvaret og deres manglende kompetance.

Tror personligt Danmark lider af IT forskrækkelse/idioti og ikke opretter deciderede IT stillinger i toppen af virksomhedder/ministerierne da disse så skal varetages af IT personer.

• Vi har reelt taget valget at vi ikke anser IT for vigtigt/(for nemt). Så derfor vil man ikke oprette disse stillinger.
• Vi har ingen konsekvenser ved dårligt arbejde/decideret underlødig udførelse.
• Der er ingen kontrol med vores systemer.

Jeg tror ITHK vil medføre en masse godt. Måske vil der opstå forståelse(frygt) af IT kompetance også skal bruges i en direktion.

Jeg er helt enig i at Jonas ikke bør straffes for det han gjorde, og at sikkerheden er alt for slap og at reaktionen fra Aino burde have været "Tak for hjælpen, Jonas. Vi har rettet op på fejlen.".

Men det ændrer ikke på at man vel bryder loven så snart man forsøger at pille ved den slags for at se om man kan komme ind? Hvor stor en hammer, for at bruge Jonas' egen formulering, skal man slå med før det kan kaldes hacking? Bare det at han forsøger, er vel nok?

Det ville være usandsynligt dårlig stil at retsforfølge Jonas, men reelt ville han da blive dømt hvis det skulle ske, ikke?

Det er jo ikke lovligt at stjæle en cykel bare fordi den står ulåst. Heller ikke hvis det bare er for at cykle hen til ejeren og sige at hans cykel er i fare.

Det er totalt uacceptabelt at så elendige programmører får lov til at levere systemer til det offentlige - eller andre steder for den sags skyld. Det er simpelt hen en begynderfejl at lave sikkerhed gennem uigennemskuelighed, og det er trivielt enten at benytte klassisk http-sikkerhed og beskytte et katalogtræ eller at levere siderne via en publishing-service som for hver eneste forespørgsel tjekker rettigheder og afviser (og logger) alle forsøg på at komme udenom.

"Jeg har sikret denne pengetank (persondata=penge) forsvarligt, ved at lade døren stå åben og sat et skilt på hvor der står INGEN ADGANG"

HELDIGVIS er Jonas en god dreng. Han kunne se et problem der omhandlede hans, og andres sikkerhed og kontaktede den RIGTIGE myndighed - nemlig en non-profit uafhængig myndighed. Godt gået.

Som set før bliver fingrene peget på den eneste der rent faktisk har gjort noget godt. Systemet er elendigt sikret - dem der har lavet det skal have en skideballe. Lederen løber fra ansvaret, bagatelliserer realiteten og kalder næsten Jonas for kriminel. Hun skal have en større skideballe.

Folk burde lære forskel på black-hat og white-hat.

Direktionen tæller 4 medlemmer, der hverken har en uddannelse indenfor
naturvidenskab/IT eller har haft et karriereforløb med fokus på IT. http://stil.dk/Om-os/Organisation/Direktion

Vi taler om det gamle UNI-C - en styrelse, hvis opgaver er centreret omkring digitalisering, data og IT-projekter.

Utroligt at der sidder så mange talentløse amatører rundt omkring og "udvikler" disse systemer til de offentlige.

Hende Aino Olsen er da et præmieeksempel på en leder, som ikke vil stå ved det ansvar, hun bliver højt betalt af offentlige midler for at stå ved, og som i stedet benytter intimidering til at angribe dem, der heltemodigt påpeger de fejl, hun eller hendes direktør er ansvarlig for. Den slags bølleopførsel skaber en giftig stemning.

Sådan en leder bør fyres på stedet.

Jonas Boserup bør derimod have en pris for at være en fremragende medborger. Flot gjort, Jonas!

»Jeg kontaktede Datatilsynet, fordi jeg kunne se, at det kan misbruges til identitetstyveri. Så jeg rettede henvendelse til tilsynet for at sikre, at der ikke ville være nogen med onde hensigter, der fik adgang til det her.«

Henvendelsen omhandler en elev, der klager over at have opnået uautoriseret adgang til et af vores studieadministrative systemer via skolens netværk.

De satans elever klager da også bare over alt! Kan man nu ikke have sine elendige ulovligt usikrede systemer i fred og ro!!

Hvis man kan komme så let uden om til noget som skal være meget sikker. Skyldtes det dårlig programmering.

Jeg håber da inderligt, at Aino Olsen læser dette og sender 6 gode flasker vin afsted til Jonas som tak.

At kalde Jonas handling for en "lovovertrædelse" og benægte at der var et reelt hul er en direkte skændsel og thumbs up til Jonas for at handle som han har gjort.

Derudover undrer det mig voldsomt, at en så teknisk usagkyndig person overhovedet udtaler sig om dette istedet for at henvise til en der faktisk har viden omkring dette - og især, ved hvad en sikkerhedsbrist er!

Aino, det er en ommer!

Hvis kompetenceniveauet hos offentlige chefer med ansvar for IT er på linie med Aino Olsens, så forstår jeg bedre at milliarder af skattekroner bliver brugt til ubrugelige systemer.

Det er dybt skræmmende at læse om Aino Olsens reaktion på denne hændelse.

Først siger STIL:

Aino Olsen mener, det tyder på, at Jonas Boserups måde af fejlfinde i systemerne på kan være på kant med loven.

Og så:

»En anden gang vil jeg opfordre den meget opfindsomme unge mand til at tage fat i os direkte.«

Det er så det ALLER sidste man får lyst til efter ovenstående udtalelse.

Jeg arbejder bl.a. med STILs systemer til hverdag, og jeg vil da overveje mere end én gang, om jeg vil advare dem næste gang jeg finder noget, hvis der vanker en politianmeldelse.

Enig. Flueknepperi. :). Det ville være rart hvis offentlige myndigheder begyndte at sige tak, når man påpeger at de ikke overholder persondataloven, i stedet for at råbe hacker.

Måske flueknepperi, men Aino Olsen er af hunkøn, som det fremgår af artiklen, og her http://stil.dk/Om-os/Organisation/Direktion

De fleste skandaler som man læser om har altid ledere uden IT baggrund og de kommer altid med underlige forklaringer på deres holdninger.

Er det korrekt at jeg læser mellem linjerne og at disse stillinger reelt er overrandt af personer som er til fare for andres ve og vel?

Jeg er fuldstændig overrasket over den vanvittige omgang med arbejdet og samtidig den ubrugelig udtagelse bagefter.

Der er jo aldrig bare en sag hvor en ansvarlig har været ude bagefter og sige noget i stil med "vores release flow har haft nogle problemer så derfor har vi indført X. og indsat ekstra mandskab for at se resten efter for ligende fejl"....

Kan kun ryste på hoved og tænke: "The definition of insanity is doing the same thing over and over again, but expecting different results". Hvilke kvalifikationer skal man besidde for at varetage en sådan stilling og hvad er lønnen?

"Hvorvidt det er et egentligt hul, kan man diskutere. Det er en person, der bevidst har forsøgt at komme ind bag."

Jeg forstår ikke hvordan der overhovet kan herske tvivl om at der er tale om et alvorligt sikkerhedshul hvis det med så få midler er muligt at komme ind bagved, "uautoriseret adfærd" eller ej. Den eneste retfærdiggørelse af udsagnet "Hvorvidt det er et egentligt hul, kan man diskutere", er i mine øjne udelukkende beroende på hvor ihærdig man skal være i sin "uautoriserede adfærd". Hvornår har man ellers et sikkerhedshul? Kun ved uforvarende at kompromittere et system med almindelig, "autoriseret adfærd"? Det giver ingen mening.

Det lyder som om, at man nogle steder dybest set mener, at alle data kan lægges tilgængligt ud på nettet, hvis man blot starter siden med et "Adgang forbudt"-skilt. Hvis der så skulle være nogen, der alligevel - ganske mod forventning? -formaster sig til at kigge i de forbudte data, så er det deres fejl, ikke den systemansvarliges, for de er jo blevet advarede om, at det var "forbudt".

Sikke enkelt det på den måde kan blive at være sikkerhedsansvarlig. Og sikke komliceret for alle os andre, som skal vogte hvert et skridt, vi foretager på nettet, for ikke pludseligt at være blevet kriminelle.

Gad vide, hvad forklaringen på den sene responstid i denne sag er, når man åbenbart har kunnet lukke hullet på få timer, når blot henvendelsen kommer fra medierne?

Der er 4 problemer her:

1. Man accepterer ikke at man har et ansvar for at lave reelt sikre systemer - man dækker sig ind bag vendinger som "uautoriseret adgang".
2. Hvis nogen opdager fejl så snakker man om lovovertrædelser i stedet for at takke den "venlige" hacker.
3. Man kan reelt sætte alt muligt på nettet uden uafhængig vurdering af systemers sikkerhed.
4. Det er ikke ansvarspådragende at opføre sig umådeligt dumt rent sikkerhedsmæssigt.

»Hvorvidt det er et egentligt hul, kan man diskutere. Det er en person, der bevidst har forsøgt at komme ind bag. Den mulighed er lukket nu med login.«

Efter sådan en udtalelse burde Aino Olsen forflyttes til et sted hvor han kan gøre mindre skade. Han løber fra sit ansvar!

Ikke mindst fordi Aino Olsen mener, det tyder på, at Jonas Boserups måde af fejlfinde i systemerne på kan være på kant med loven.

Her går han efter den venlige "hacker".

Alle offentlige og private IT systemer burde IT-sikkerhedsmærkes (á la CE mærket). Dvs. at man skal indgive en erklæring om at man har sikret systemet. Alle offentlige og private institutioner burde IT-sikkerhedsrevideres hvert år hvor man tjekker at der dokumentation for sikkerheden - på samme måde som traditionel revision.

Overtrædelser bør kunne straffes møde bøde og fængsel.

Ja det er rigtigt i Danmark Anno 2015. Da det offentlige ikke vil påtage sig ansvar eller bare i lovens forstand opretholde et minimum af standard/anstændighed.

Modspørgsmålet burde være om Aino Olsen ikke udføre "Bevidst uautoriseret adfærd" ved at være vicedirektør og ikke overholde persondata loven. (næste træk er vel at udgive alle landets cpr numre og navne og derefter hævde at hvis man kigger på det begår man "Bevidst uautoriseret adfærd" )

Ak det er stadig mange år til vi reelt har mennesker i toppen som forstår de simpleste IT problemstillinger. Det vil være dejligt at se hvem der har "blessed" den beslutning at indføre "_secure" i URL.

Så nu er et sikkerhedshul mindre alvorligt, hvis det kun kan udnyttes af en der gør det med vilje?

Ergo, husk at anonymisere dig, når du kontakter dem og truer med at ligge skidtet på reddit, pastebin eller gys Ekstrabladet :)

Som regel er det ligegyldigt. Hvis du ikke har en skriftlig aftale med systemejeren om at du prøver systemet af, så har du og ikke systemejeren et problem. Det er uanset om systemet er elendigt, du blot vil hjælpe, leverandøren er et tre bogstavs firma eller hvad etiske overvejelser du måtte have omkring data der identificere dig eller omgangskreds.

Det kan man mene hvad man vil om, men det er udgangspunktet for det offentlige system.

Så nu er et sikkerhedshul mindre alvorligt, hvis det kun kan udnyttes af en der gør det med vilje?

Godt arbejde knægt!

Jeg laver ofte sådan et par småtjeks med at putte lidt html ind i indtastningsfelter, lidt specialtegn, ændre lidt cookies og andet helt harmløst, hvis det er fremmede systemer der skal behandle eller opbevare noget af mit data. Det er frygteligt når man så finder noget skrammel. Hvem skal man anmelde det til? Skal man frygte for selv at blive politianmeldt? Er der noget der hedder at "sikkerheden var i så uforsvarlig stand", at det ikke kan kategoriseres som et angreb, men nærmere bare selvforsvar af egne data og id?