Gymnasieelev fik adgang til CPR-database ved at fjerne ‘_secure’ fra URL

Uvedkommende har kunnet få adgang til CPR-numre og navne knyttet til numrene i systemet Easy-P, som bliver brugt til administration af praktikforløb på landets erhvervsuddannelser. »Det kan diskuteres, om det er et hul,« anfører systemejeren, som er en offentlig styrelse.

Et sikkerhedshul, der giver adgang til elevers CPR-numre og gør det muligt at slå navne op via CPR-numre, har sneget sig ind i en del af Easy-systemet, som bruges til studieadministration på landets erhvervsuddannelser. Sårbarheden er netop blevet lukket. Det er uvist, hvor længe den har eksisteret.

CPR-sårbarheden blev opdaget af Jonas Boserup, der til daglig læser på Teknisk Gymnasium på Selandia i Slagelse. Han bemærkede, at en sekretær på skolen sad med et skærmbillede til et andet delsystem i Easy-miljøet.

Jonas Boserup blev nysgerrig og undersøgte, hvad Easy er for noget. I den forbindelse stødte han på delsystemet til administration af praktikophold, Easy-P.

Selvom Easy-P henvender sig til erhvervsuddannelserne på Selandia, kunne Jonas Boserup - der læser på en gymnasial uddannelse og ikke skal i praktikforløb - uden videre tilgå praktiksystemet via en browser. Dog forudsat at han var koblet på skolens net, eksempelvis det åbne wifi, fortæller han.

»Til at starte med undrede det mig, at jeg kunne se det her. Og så kiggede jeg videre i det,« siger Jonas Boserup.

Og han blev endnu mere overrasket efter at have opdaget en side, hvor der skulle indtastes et skole-ID. Jonas Boserup prøvede med flere heltal. Det resulterede i, at han fik adgang til forskellige logs med CPR-numre, som Jonas Boserup fortæller så ud til at have relation til elever i praktikforløb.

Easy-P-hjemmesiden var dog ikke helt åben. Således så en del af menupunkterne ud til at være beskyttet af et login. Men det viste sig kun at være på overfladen.

»Når man klikkede rundt i menupunkterne, var der store dele af dem, der havde en adresse, hvor der stod epp_secure. Hvis man fjernede _secure, kunne man tilgå de beskyttede sider, som ellers krævede, man loggede ind,« siger Jonas Boserup.

Læs også: Styrelse: It til erhvervsskoler har været for kompliceret til private

Sagen er særligt opsigtsvækkende, idet interesseorganisationen Danske Erhvervsskoler (DE) - i samråd med advokatvirksomheden Bech-Bruun - har været kritisk over for privacy-problemer i et andet studieadministrativt system, Lectio, som bliver anvendt på flere af de erhvervsgymnasiale uddannelser, som DE-organisationens medlemmer tilbyder. DE har over for Version2 udtrykt undren over, at Datatilsynets ikke greb ind over for Lectio.

Læs også: Danske Erhvervsskoler: Hvor blev reaktionen fra Datatilsynet af i forhold til gymnasie-it?

Læs også: Danske Erhvervsskoler: Udbredt gymnasie-it har privacy-problemer

I forhold til adgangen til delsystemet Easy-P har Datatilsynet tidligere på måneden rettet henvendelse til Styrelsen for IT og Læring, der står bag Easy-systemet, som er obligatorisk at anvende på erhvervsuddannelserne.

CPR-opslag

Alene ved at ændre i url’en var det muligt at omgå det, der ellers skulle være en databeskyttelse. Et af de menupunkter, der skulle forestille at være beskyttet med login, viste sig at indeholde et indtastningsfelt til CPR-numre.

Først prøvede Jonas Boserup at taste sit eget CPR-nummer ind i feltet - herefter returnerede systemet hans navn. Dernæst prøvede han efter aftale med en ven at indtaste vennens CPR-nummer. Her fik han navnet på vennen returneret. Jonas Boserup fortæller, at vennen slet ikke er tilknyttet en uddannelse.

»Jeg kontaktede Datatilsynet, fordi jeg kunne se, at det kan misbruges til identitetstyveri. Så jeg rettede henvendelse til tilsynet for at sikre, at der ikke ville være nogen med onde hensigter, der fik adgang til det her.«

Datatilsynet har på baggrund af Jonas Boserups henvendelser - der har været flere i takt med, at Jonas Boserup har opdaget flere teknikaliteter - sendt et brev til STIL, hvor tilsynet blandt andet gerne vil vide, ‘om Styrelsen for It og Læring har mulighed for/finder anledning til at tage skridt til at forbedre sikkerheden i forhold til den beskrevne problemstilling’.

Datatilsynet giver STIL en frist på tre uger til at svare på henvendelsen, der er dateret 7. september.

Den 23. september var der stadig ifølge Jonas Boserup stadig fri adgang til CPR-numre i STIL.

Først efter at Version2 rettede henvendelse til STIL, ligeledes 23. september, meddelte vicedirektør i STIL Aino Olsen i slutningen af sidste uge, at hullet nu er lukket.

I en mail sendt 25. september skriver hun:

»Jeg kan bekræfte, at styrelsen har modtaget en henvendelse fra Datatilsynet. Henvendelsen omhandler en elev, der klager over at have opnået uautoriseret adgang til et af vores studieadministrative systemer via skolens netværk. Vi har undersøgt forholdene og kan bekræfte, at han kan have opnået en sådan adgang, men at det ud fra vores foreløbige undersøgelser kræver en bevidst uautoriseret adfærd at opnå de adgange, som eleven klager over. Data ligger således ikke frit tilgængeligt. Vi har lukket for den pågældende sårbarhed og er i dialog med Datatilsynet om den videre proces.«

Version2 har efterfølgende været i dialog med Aino Olsen, som ikke mener, at data som sådan har været frit tilgængelige:

»Hvorvidt det er et egentligt hul, kan man diskutere. Det er en person, der bevidst har forsøgt at komme ind bag. Den mulighed er lukket nu med login.«

Den del bekræfter Jonas Boserup. Han fortæller, at hele Easy-P-systemet nu ser ud til at kræve et brugerlogin, der ikke kan omgås ved at fjerne _secure.

Aino Olsen gætter umiddelbart på, at sårbarheden har været der i relativt kort tid. Det er STIL nu ved at undersøge nærmere. Sårbarheden kan være opstået i forbindelse med omlægninger af skolernes netværk, fortæller hun.

I forhold til netværk mener Aino Olsen desuden, at skolerne bærer en del af ansvaret for, hvem der kan få adgang til systemet. Jonas Boserup har fortalt til Version2, at han kun har kunnet få adgang til siderne via skolens netværk, men altså også herunder det åbne wifi-hotspot.

STIL bærer dog også en del af ansvaret for sikkerhedsbristen i forhold til at beskytte dataadgang med login, tilkendegiver Aino Olsen.

»Det er en kombination. Det er også et spørgsmål om skolernes netværk, og hvilke netværk en elev skal kunne komme ind på. Det er den ene ting. Og så er det samtidig en sårbarhed, hvor ikke alle funktionaliteter på netværket er beskyttet af login. Det er de så nu.«

Aino Olsen forklarer, at STIL på nuværende tidspunkt ikke kan sige noget om, hvorvidt adgangen har været misbrugt.

»Det er også et spørgsmål om, hvad der egentlig har været adgang til. CPR-numre er jo ikke så smart, men det er ikke nødvendigvis kritisk, medmindre du kan kombinere dem med nogle navne også.«

På oplysningen om, at Jonas Boserup også har fundet et menupunkt, hvor man kunne slå CPR-numre op og få navne retur, siger Aino Olsen.

»Vores foreløbige undersøgelse tyder på, at dette har krævet en bevidst uautoriseret adfærd, men dette er der også lukket for nu.«

Ikke umiddelbart retslige skridt

Skulle Jonas Boserup en anden gang finde frem til sårbarheder, opfordrer Aino Olsen ham til at tage fat i STIL direkte. Ikke mindst fordi Aino Olsen mener, det tyder på, at Jonas Boserups måde af fejlfinde i systemerne på kan være på kant med loven:

»En anden gang vil jeg opfordre den meget opfindsomme unge mand til at tage fat i os direkte.«

STIL har dog ikke umiddelbart tænkt sig at tage retslige skridt over for Jonas Boserup, påpeger Aino Olsen. I stedet vil styrelsen nu tage en dialog med den pågældende skole.

Jonas Boserup føler sig nu heller ikke videre som en kriminel hacker. Han henviser blandt andet til, at adressen på hjemmesiden, der giver adgang til systemet, ikke er videre hemmelig.

»Det vil jeg ikke mene. Denne adresse er offentlig kendt. Jeg har ikke siddet og slået med en hammer på systemet og tvunget de her oplysninger frem. Der har ikke været nogen beskyttelse overhovedet,« siger han og tilføjer:

»Jeg synes ikke, jeg har gjort noget forkert, men at jeg har gjort det rigtige ved at underrette Datatilsynet. Jeg har mit på det rene og kan sagtens forsvare det.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (53)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Godt arbejde knægt!

Jeg laver ofte sådan et par småtjeks med at putte lidt html ind i indtastningsfelter, lidt specialtegn, ændre lidt cookies og andet helt harmløst, hvis det er fremmede systemer der skal behandle eller opbevare noget af mit data.
Det er frygteligt når man så finder noget skrammel. Hvem skal man anmelde det til? Skal man frygte for selv at blive politianmeldt?
Er der noget der hedder at "sikkerheden var i så uforsvarlig stand", at det ikke kan kategoriseres som et angreb, men nærmere bare selvforsvar af egne data og id?

  • 46
  • 0
Jakub Nielsen

Som regel er det ligegyldigt. Hvis du ikke har en skriftlig aftale med systemejeren om at du prøver systemet af, så har du og ikke systemejeren et problem. Det er uanset om systemet er elendigt, du blot vil hjælpe, leverandøren er et tre bogstavs firma eller hvad etiske overvejelser du måtte have omkring data der identificere dig eller omgangskreds.

Det kan man mene hvad man vil om, men det er udgangspunktet for det offentlige system.

  • 0
  • 15
Ulrik Suhr

Ja det er rigtigt i Danmark Anno 2015.
Da det offentlige ikke vil påtage sig ansvar eller bare i lovens forstand opretholde et minimum af standard/anstændighed.

Modspørgsmålet burde være om Aino Olsen ikke udføre "Bevidst uautoriseret adfærd" ved at være vicedirektør og ikke overholde persondata loven. (næste træk er vel at udgive alle landets cpr numre og navne og derefter hævde at hvis man kigger på det begår man "Bevidst uautoriseret adfærd" )

Ak det er stadig mange år til vi reelt har mennesker i toppen som forstår de simpleste IT problemstillinger.
Det vil være dejligt at se hvem der har "blessed" den beslutning at indføre "_secure" i URL.

  • 23
  • 0
Michael Cederberg

Der er 4 problemer her:

  1. Man accepterer ikke at man har et ansvar for at lave reelt sikre systemer - man dækker sig ind bag vendinger som "uautoriseret adgang".
  2. Hvis nogen opdager fejl så snakker man om lovovertrædelser i stedet for at takke den "venlige" hacker.
  3. Man kan reelt sætte alt muligt på nettet uden uafhængig vurdering af systemers sikkerhed.
  4. Det er ikke ansvarspådragende at opføre sig umådeligt dumt rent sikkerhedsmæssigt.

»Hvorvidt det er et egentligt hul, kan man diskutere. Det er en person, der bevidst har forsøgt at komme ind bag. Den mulighed er lukket nu med login.«

Efter sådan en udtalelse burde Aino Olsen forflyttes til et sted hvor han kan gøre mindre skade. Han løber fra sit ansvar!

Ikke mindst fordi Aino Olsen mener, det tyder på, at Jonas Boserups måde af fejlfinde i systemerne på kan være på kant med loven.

Her går han efter den venlige "hacker".

Alle offentlige og private IT systemer burde IT-sikkerhedsmærkes (á la CE mærket). Dvs. at man skal indgive en erklæring om at man har sikret systemet. Alle offentlige og private institutioner burde IT-sikkerhedsrevideres hvert år hvor man tjekker at der dokumentation for sikkerheden - på samme måde som traditionel revision.

Overtrædelser bør kunne straffes møde bøde og fængsel.

  • 39
  • 0
Anne-Marie Krogsbøll

Det lyder som om, at man nogle steder dybest set mener, at alle data kan lægges tilgængligt ud på nettet, hvis man blot starter siden med et "Adgang forbudt"-skilt. Hvis der så skulle være nogen, der alligevel - ganske mod forventning? -formaster sig til at kigge i de forbudte data, så er det deres fejl, ikke den systemansvarliges, for de er jo blevet advarede om, at det var "forbudt".

Sikke enkelt det på den måde kan blive at være sikkerhedsansvarlig. Og sikke komliceret for alle os andre, som skal vogte hvert et skridt, vi foretager på nettet, for ikke pludseligt at være blevet kriminelle.

Gad vide, hvad forklaringen på den sene responstid i denne sag er, når man åbenbart har kunnet lukke hullet på få timer, når blot henvendelsen kommer fra medierne?

  • 24
  • 0
Thore P. C. Kragelund

"Hvorvidt det er et egentligt hul, kan man diskutere. Det er en person, der bevidst har forsøgt at komme ind bag."

Jeg forstår ikke hvordan der overhovet kan herske tvivl om at der er tale om et alvorligt sikkerhedshul hvis det med så få midler er muligt at komme ind bagved, "uautoriseret adfærd" eller ej. Den eneste retfærdiggørelse af udsagnet "Hvorvidt det er et egentligt hul, kan man diskutere", er i mine øjne udelukkende beroende på hvor ihærdig man skal være i sin "uautoriserede adfærd". Hvornår har man ellers et sikkerhedshul? Kun ved uforvarende at kompromittere et system med almindelig, "autoriseret adfærd"? Det giver ingen mening.

  • 26
  • 0
Ulrik Suhr

De fleste skandaler som man læser om har altid ledere uden IT baggrund og de kommer altid med underlige forklaringer på deres holdninger.

Er det korrekt at jeg læser mellem linjerne og at disse stillinger reelt er overrandt af personer som er til fare for andres ve og vel?

Jeg er fuldstændig overrasket over den vanvittige omgang med arbejdet og samtidig den ubrugelig udtagelse bagefter.

Der er jo aldrig bare en sag hvor en ansvarlig har været ude bagefter og sige noget i stil med "vores release flow har haft nogle problemer så derfor har vi indført X. og indsat ekstra mandskab for at se resten efter for ligende fejl"....

Kan kun ryste på hoved og tænke:
"The definition of insanity is doing the same thing over and over again, but expecting different results".
Hvilke kvalifikationer skal man besidde for at varetage en sådan stilling og hvad er lønnen?

  • 18
  • 0
Erik Cederstrand

Først siger STIL:

Aino Olsen mener, det tyder på, at Jonas Boserups måde af fejlfinde i systemerne på kan være på kant med loven.

Og så:

»En anden gang vil jeg opfordre den meget opfindsomme unge mand til at tage fat i os direkte.«

Det er så det ALLER sidste man får lyst til efter ovenstående udtalelse.

Jeg arbejder bl.a. med STILs systemer til hverdag, og jeg vil da overveje mere end én gang, om jeg vil advare dem næste gang jeg finder noget, hvis der vanker en politianmeldelse.

  • 31
  • 0
Ulrik Friis

Hvis kompetenceniveauet hos offentlige chefer med ansvar for IT er på linie med Aino Olsens, så forstår jeg bedre at milliarder af skattekroner bliver brugt til ubrugelige systemer.

Det er dybt skræmmende at læse om Aino Olsens reaktion på denne hændelse.

  • 25
  • 0
Carl Oscar Schultz

Jeg håber da inderligt, at Aino Olsen læser dette og sender 6 gode flasker vin afsted til Jonas som tak.

At kalde Jonas handling for en "lovovertrædelse" og benægte at der var et reelt hul er en direkte skændsel og thumbs up til Jonas for at handle som han har gjort.

Derudover undrer det mig voldsomt, at en så teknisk usagkyndig person overhovedet udtaler sig om dette istedet for at henvise til en der faktisk har viden omkring dette - og især, ved hvad en sikkerhedsbrist er!

Aino, det er en ommer!

  • 23
  • 0
Fini Alring
»Jeg kontaktede Datatilsynet, fordi jeg kunne se, at det kan misbruges til identitetstyveri. Så jeg rettede henvendelse til tilsynet for at sikre, at der ikke ville være nogen med onde hensigter, der fik adgang til det her.«
Henvendelsen omhandler en elev, der klager over at have opnået uautoriseret adgang til et af vores studieadministrative systemer via skolens netværk.

De satans elever klager da også bare over alt! Kan man nu ikke have sine elendige ulovligt usikrede systemer i fred og ro!!

  • 19
  • 0
Per Hansen

Hende Aino Olsen er da et præmieeksempel på en leder, som ikke vil stå ved det ansvar, hun bliver højt betalt af offentlige midler for at stå ved, og som i stedet benytter intimidering til at angribe dem, der heltemodigt påpeger de fejl, hun eller hendes direktør er ansvarlig for. Den slags bølleopførsel skaber en giftig stemning.

Sådan en leder bør fyres på stedet.

Jonas Boserup bør derimod have en pris for at være en fremragende medborger. Flot gjort, Jonas!

  • 21
  • 0
Bjarke Jørgensen

"Jeg har sikret denne pengetank (persondata=penge) forsvarligt, ved at lade døren stå åben og sat et skilt på hvor der står INGEN ADGANG"

HELDIGVIS er Jonas en god dreng. Han kunne se et problem der omhandlede hans, og andres sikkerhed og kontaktede den RIGTIGE myndighed - nemlig en non-profit uafhængig myndighed. Godt gået.

Som set før bliver fingrene peget på den eneste der rent faktisk har gjort noget godt. Systemet er elendigt sikret - dem der har lavet det skal have en skideballe.
Lederen løber fra ansvaret, bagatelliserer realiteten og kalder næsten Jonas for kriminel. Hun skal have en større skideballe.

Folk burde lære forskel på black-hat og white-hat.

  • 17
  • 0
Per Gøtterup

Det er totalt uacceptabelt at så elendige programmører får lov til at levere systemer til det offentlige - eller andre steder for den sags skyld. Det er simpelt hen en begynderfejl at lave sikkerhed gennem uigennemskuelighed, og det er trivielt enten at benytte klassisk http-sikkerhed og beskytte et katalogtræ eller at levere siderne via en publishing-service som for hver eneste forespørgsel tjekker rettigheder og afviser (og logger) alle forsøg på at komme udenom.

  • 4
  • 0
Martin Hoffmann

Jeg er helt enig i at Jonas ikke bør straffes for det han gjorde, og at sikkerheden er alt for slap og at reaktionen fra Aino burde have været "Tak for hjælpen, Jonas. Vi har rettet op på fejlen.".

Men det ændrer ikke på at man vel bryder loven så snart man forsøger at pille ved den slags for at se om man kan komme ind?
Hvor stor en hammer, for at bruge Jonas' egen formulering, skal man slå med før det kan kaldes hacking? Bare det at han forsøger, er vel nok?

Det ville være usandsynligt dårlig stil at retsforfølge Jonas, men reelt ville han da blive dømt hvis det skulle ske, ikke?

Det er jo ikke lovligt at stjæle en cykel bare fordi den står ulåst. Heller ikke hvis det bare er for at cykle hen til ejeren og sige at hans cykel er i fare.

  • 2
  • 1
Ulrik Suhr

Du skriver jo lige det vi andre tænker...
Hvad gemmer sig under den ildelugtende sten.....
L**T eller det som er værre.

Jeg gætter på det værre efter Aino Olsen's udtale.

mht. kompetance så har vi Emil Herskind.
https://www.linkedin.com/pub/emil-herskind/3/57a/821
Emil som selv har skrevet han står får deres sikkerhed. Læs selv.

Jeg tror det er en klassisk:
"delt ansvar i det offentlige:
Ansvaret deles ligeligt mellem 3 mennesker så de præcis har 2% ansvar hver."

Hvad er egentlig ansættelakrav for disse stillinger i det offentlige?
Skal ikke have IT baggrund og være fra enten CBS(ikke IT tung) eller can.polit?
Jeg er stadig forundret over de skandaler og hvem som sidder med ansvaret og deres manglende kompetance.

Tror personligt Danmark lider af IT forskrækkelse/idioti og ikke opretter deciderede IT stillinger i toppen af virksomhedder/ministerierne da disse så skal varetages af IT personer.

  • Vi har reelt taget valget at vi ikke anser IT for vigtigt/(for nemt). Så derfor vil man ikke oprette disse stillinger.
  • Vi har ingen konsekvenser ved dårligt arbejde/decideret underlødig udførelse.
  • Der er ingen kontrol med vores systemer.

Jeg tror ITHK vil medføre en masse godt. Måske vil der opstå forståelse(frygt) af IT kompetance også skal bruges i en direktion.

  • 3
  • 0
Anne-Marie Krogsbøll

Dum, som jeg er, på dette felt, ville det ikke for mig være indlysende, at hvis jeg fjerner "_secure", så ryger jeg ind i noget "hemmeligt" og forbudt. Det er sikkert indlysende for folk, der ved, hvordan man bygger denne slags systemer op, men for os ikke-kyndige, der kan man lige så godt forvente at komme ind på noget lovligt.

For mig ville det umiddelbart være mere logisk at forvente, at når man fjerner "_secure", så kommer man ind på en del af siden, der ikke kræver særlig sikkerhed eller godkendelse.

Når man ikke kender en sides opbygning, og når man ikke har forstand på den slags, så er det da nogle gange nærliggende at prøve at ændre i adressen for at, hvad der gemmer sig af interesante - og fuldt lovlige - ting på siden. Der må jeg så åbenbart til at betragte mig som mulig hacker.

Sådan er det så forskelligt, hvordan vore hjerner fungerer....

  • 6
  • 0
Ditlev Petersen

Muligvis skal nogle begavede politikere og mistroiske it-folk sætte sig sammen og diskutere problemet. Det duer ikke, at den person eller institution, der sjusker med sikkerheden (og i øvrigt heller ikke bare prøver på at rette op på det) er straffri, mens dem, der opdager fejlene, er forbrydere (med mindre de har en klar aftale med brugeren/leverandøren). For hverken brugere eller leverandører er vel spor interesserede i at blive kigget efter, for det kan jo tage tid og koste penge. Man kan heller ikke bare tillade "grey hat-hacking". Men det er stadig de ondeste hackere, der for alvor får virksomheder og institutioner til at tage sikkerhed alvorligt.
Det er naturligvis naivt at håbe på, at en sådan kort tænkepause finder sted. Jeg har i hvert fald ikke det juridiske svar. Måske skal man have obligatorisk white hat-hacking fra et korps af .... ferme amatører? Palle Sørensen-typer (uden pistoler).
Nej, jeg havde heller ikke fundet på at fjerne _secure. Men jeg ville jo også have risikeret job og frihed, hvis jeg havde.
"Pay no attention to the hole behind the curtain!"

  • 2
  • 0
Henning Mølsted Editor

Kære Hans

Tak for din indlæg.

Det er en interessant observation, og det er sikkert ikke ment i ond tro, men jeg må bede dig om ikke at udgive anvisninger på hvordan man hacker sig ind på CPR-registre og følsomme personoplysninger. Version2 skal omtale privacy problemer for at forhindre at de sker og øge persondatasikkerheden - ikke det modsatte.

Med venlig hilsen

Henning Mølsted, redaktør, Version2

  • 4
  • 2
Anne-Marie Krogsbøll

Ja, det er farligt at være whistleblower (men du er i fint selskab, Snowden eks. :-)) . Forhåbentlig kommer dine skoleansvarlige på bedre tanker, og sletter din advarsel. Hvis ikke (shame on them), så må du i stedet glæde dig over, at vi er mange herinde, der mener, at du har gjort det rigtige.

Held og lykke med din fremtidige skolegang - du skal nok blive til noget.

  • 10
  • 0
Michael Cederberg

Desværre må jeg indse, at Selandias direktør og HTX vicerektor ikke har sat sig ind i sagen, og har valgt at give mig en verbal advarsel samt skærpet tilsyn af min adgang til skolens IT infrastruktur.

Her kunne man så ønske at ing.dk ville spørge ind til sagen på skolen. Det hører ingen steder hjemme at gå efter manden på den måde. Og specielt at en uddannelsesinstitution som skal uddanne unge til fornuftige men også kritiske samfundsborgere. Forseelsen svarer til at se en dør stå på klem og så åbne den for at råbe ind "er der er nogen hjemme?".

På trods af min generelle afsky ved ekstrabladet så så jeg gerne deres aggressive journalistik i denne sag.

  • 16
  • 0
Ulrik Suhr

"Selv mod idioter kæmper guderne forgæves."
Hvis man skal begynde med advarsler kan man lige så godt trække stregen i sandet og være forberedt.

Denne hetz på manden istedet for bolden ses nu gang på gang. Eneste andet træk tilbage er vel at oplyse om det via alternative kanaler med anonymitet og underret dagblade om dette...
Ikke en god vej i min optik da samarbejde og forståelse højner sikkerheden og stabiliteten på softwaren.

Denne adfærd er kun muligt fordi der ikke er konsekvens ved utilstrækkelig kompetance eller uduelig ledelse inden for IT projekter.

  • 6
  • 0
Michael Cederberg

Jonas, Tor er din ven, happy hunting :)

Må jeg lige benytte lejligheden til at opfordre alle til at have en Tor-node kørende.

Og det er lige præcist den slags kommentarer der er med til at "legitimere" reaktionen med at slå ned på budbringeren. Dette handler IKKE om at kunne lave ting anonymt på nettet.

Dette handler om at manden opdagede en fejl, undersøgte dens opfang og så rapporterede dette til rette myndighed. Der er ingen grund til at skjule sig her. Hvis ikke vi får den slags frem så bliver det aldrig bedre. Og hvis det ikke bliver bedre så vil det kun være til "de onde" hackeres fordel.

Desværre tror mange at hvis lige deres fejl kan forblive skjult så er de sikret. Hvis nu det var nogle andres sikkerhedsfejl der kom på forsiden af version2 så går det ikke ud over deres karriere. Det er en stakket frist, måske er deres sikkerhedshuller allerede opdaget og udnyttet uden at det er fremme i pressen. Vi skal have gjort op med den holdning.

I den forbindelse kunne man spørge Aino: Hvad vil hun helst opleve:

  1. En hacker som Jonas der fortæller hvad han har lavet og i øvrigt ikke udnytter sin viden til at lave noget ondt.
  2. En hacker som Gottfrid Svartholm der i det skjulte snuppede informationer og ingen ved hvor data er endt.

Uden folk som Jonas ender alle huller i sidste ende som CSC sager.

  • 5
  • 0
Bjarke Jørgensen

Lige mine ord Michael. Problemet med den holdningsændring, som helt sikkert vil komme, er at den kræver martyriske indsatser ala Snowden - desværre lytter folk ikke (specielt folk med magt) til gode argumenter, men mere til larmende argumenter...

Personligt tror jeg at folk som Aino og vicerektoren er bange - de hører noget med skolens net og usikkerhed og ser en dreng der kan noget med computere, og straks tænker de HACKER, KRIMINEL og så er lynchen igang. De fleste folk har ikke en nuanceret tilgang til IT og IT-sikkerhed specielt. Måske man burde undervise i IT-sikkerhed på offentlige institutioner?

Gert: jeg er meget nysgerrig omkring det at Aino er ansvarsfri, ved du hvor det står beskrevet?

  • 3
  • 0
Dan Storm

b) Efter gældende praksis i Danmark, så er hun ansvarsfri, selv hvis det kan bevises at hun ikke har opbevaret data forsvarligt.

Det kan selvfølgelig være at det bare er mig der har misforstået noget, men jeg forstår ikke ovenstående?

Er det gældende retspraksis at den dataansvarlige/databehandleren, som ikke passer ordentligt på personhenførbare oplysninger hvor data kan lækkes, er fritaget for straf?
Jeg er klar over at lovens rammer til tider ikke stemmer overens med gældende retspraksis, men rent juridisk foreskriver Persondatalovens § 41, stk. 3 at:

Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Det er selvfølgelig et vurderingsspørgsmål (som altid) men jeg mener ikke umiddelbart at STIL har levet op til ovenstående krav fra Persondataloven.

Jonas Boserup har uden tvivl forbrudt sig mod Straffelovens § 263, stk. 2 - uanset om formålet defineres som white- eller blackhat formål. Men det er, efter min bedste overbevisning, en seperat sag og STIL bør kunne stilles til ansvar jf. persondataloven. Når det er sagt, så er den største bøde givet til dato udstedt tilbage i 2001 på 25.000 kr.

  • 3
  • 0
Gert Madsen

"Er det gældende retspraksis at den dataansvarlige/databehandleren, som ikke passer ordentligt på personhenførbare oplysninger hvor data kan lækkes, er fritaget for straf?"

Retspraksis kræver jo at der rejses sigtelse, og fældes en dom.
Det ser og hører vi jo ikke noget til, selvom der bla. i nærværende medie er masser af eksempler på lemfældig omgang med personlige data.

Det betyder jo så netop, at på trods af lovtekster, så er det i praksis straffrit.

  • 3
  • 0
Ditlev Petersen

har ingen ondt af. Og hvad hackere ved, men som hverken Version2 eller Ekstrabladet ved noget om, gør heller ingen skade. Det er åbenbart "filosofien". Jeg fandt engang et mindre hul i et meget brugt system. Ikke noget jeg ledte efter og jeg fik heller ikke adgang til andres data, men jeg skal åbenbart være glad for, at jeg ikke fik en sag i hovedet "som tak". Men hullet kunne virkelig have givet anledning til voldsomme gerninger, hvis andre fandt på at bruge det. Det var ikke en åben ladeport, laden var revet ned. Så det har været særdeles nemt tilgængeligt.
Mere tør jeg ikke skrive.

  • 3
  • 0
Ditlev Petersen

Jeg kommer til at tænke (det er farligt): Fik du en advarsel for at have kontaktet Datatilsynet i stedet for Skolen og Styrelsen? For så er der da tale om alt muligt grimt. At true folk til at fortie kriminelle forhold, trusler mod vidner eller andet saftigt.

  • 3
  • 0
Dan Storm

[quote id=315902]
Retspraksis kræver jo at der rejses sigtelse, og fældes en dom.
Det ser og hører vi jo ikke noget til, selvom der bla. i nærværende medie er masser af eksempler på lemfældig omgang med personlige data.

Det betyder jo så netop, at på trods af lovtekster, så er det i praksis straffrit.
[quote]

Det var da frygteligt ærgerligt.
Spørgsmålet er så om, hvis det er muligt, for at sikre sin retsbevidsthed på området, det er nødvendigt at føre en sag mod STIL under privat påtale?

Det største problem jeg ser er nok vi ikke helt ved præcist hvad Persondataloven mener med "fornødne tekniske foranstaltninger". Det er vel til fri fortolkning, som det ser ud nu?

  • 3
  • 0
Anne-Marie Krogsbøll

Måske kunne Version2 få Datatilsynet til at skære ud i pap for os alle, hvad det er tanken, man skal gøre, hvis man uforvarende snubler over et sikkerhedshul?

Holde kæft, og lade ulykkerne gå sin gang?

Eller være whistleblower og tage sin straf som en mand/kvinde/ægte helt?

  • 2
  • 0
Poul Wrist

»En anden gang vil jeg opfordre den meget opfindsomme unge mand til at tage fat i os direkte.«
Underforstået "så vi undgår at komme i medierne med sådanne pinligheder".

Nej, det skal netop sprøjtes ud så alle kan se hvilket makværk vores offentlige institutioner bruger milliarder på.

  • 6
  • 0
Ditlev Petersen

Ja, man bør opføre sig som en helt. Helte lever bare ikke så længe. Hvor mange af os ville løbe en risiko for at blive sortlistet, få pletter på straffeattesten, blive bortvist eller hvad det nu kan være?
Vi er nødt til at have en rimelig støtte i lovene, før man kan kræve af folk, at de agerer helte.
Jeg skal nok sende denne tråd til MIT parti. Så må I andre tage jer af jeres respektive partier.

  • 4
  • 0
Henning Mølsted Editor

Kære læsere

Som flere af jer også har opfordret redaktionen til, er vi i gang med at undersøge fakta i denne sag nærmere. Herunder hvordan Datatilsynet anbefaler, at man begår sig, hvis man opdager et hul i en database. Om de behandler anonyme tip mv.

Vi undersøger også det juridiske grundlag for at give eleven en advarsel.

Tak for de mange kommentarer. Det er en væsentligt debat.

Tillad mig at understrege, at vores debat skal holdes i en saglig tone og fokusere på substansen. Som langt de fleste gør.

Der er enkelte svipsere, hvor man anvender stærkt nedladende udtryk om bestemte parter i sagen. Dette fremmer ikke at vi kommer konstruktivt videre.

Med venlig hilsen

Henning Mølsted, redaktør, Version2

  • 5
  • 0
Niels C Nielsen

Det er godt, at Version2 prøver at klarlægge, hvad der er op og ned i denne sag, keep up the good work!

stil.dk behandler persondata for diverse uddannelsesinstitutioner, bl.a. sceu.dk. Jf PDL §41 stk3 skal der træffes de fornødne tekniske og organisatoriske mod, at oplysninger [...] kommer til uvedkommendes kendskab. Det er ikke overholdt, eftersom data faktisk kunne tilgås uden login.

Justitsministeren har med hjemmel i §41 stk5 udstedt Sikkerhedsbekendtgørelsen, der præciserer reglerne for behandling af persondata for det offentlige, hvor §3 gentager kravet fra PDL §41 stk3, og §4 angiver at Datatilsynet er tilsynsmyndighed.
Jonas har således henvendt sig til rette instans med sin bekymring.
Nogle mener, at han først burde have henvendt sig til Dataansvarlig og/eller Databehandler, men som analogi kan en spritbilist ikke forvente, endsige kræve, at vidner siger til før forholdet meldes til politiet.

STIL har kunnet læse om anmelders navn og metode på Version2, men det fremgår ikke af artiklerne, hvorvidt Datatilsynet har udvist diskretion mht anmelders identitet. Af hensyn til tilsynets fremtidige virke håber jeg, at de ikke har afsløret anmelder. Hvorfor Version2 ikke har beskyttet sin kilde, ved jeg ikke.

Det må undre, hvis STIL har 'anmeldt' Jonas til Selandia for hacking. Hvis STIL mener, at Jonas har overtrådt STRL §263 stk2 (den, som uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem) er det Politiet, de skal henvende sig til. Er det mon fordi man vurderer, at sagen ikke vil holde i byretten? Efter det oplyste har Jonas kun søgt informationer om personer, han havde aftale med, og behandlet de fundne oplysninger med diskretion. Kan formålet være at ramme anmelder uden om retssystemet? Simpel hævn?

Ifølge [Selandias Ordensreglement] (http://www.sceu.dk/studie-ordensregler-htx-hhx) vil der ske politianmeldelse ved overtrædelse af lovgivningen. Det er ikke sket, så måske mener skolen heller ikke, at sagen vil holde i byretten? Tilbage er så denne passus, der måske i grove tilfælde kan berettige en advarsel:
For at sikre, at udstyret altid fungerer tilfredsstillende, og at skolens image over for omverdenen ikke bliver unødigt belastet, er det nødvendigt, at du har en professionel holdning til anvendelse af it.

Det kan så diskuteres ad nauseam, hvem der har eller ikke har udvist "professionel holdning," men det ligger vist fast, at Selandia og STIL ikke havde opfyldt kravene i SBK.

  • 9
  • 0
Anne-Marie Krogsbøll

For at sikre, at udstyret altid fungerer tilfredsstillende, og at skolens image over for omverdenen ikke bliver unødigt belastet, er det nødvendigt, at du har en professionel holdning til anvendelse af it.

Mon ikke denne sætning har været tænkt som myntet på at opføre sig "pinligt" på nettet på en måde, der kan give skolen et dårligt ry? Porno, mobning, piratdownload etc?

At pålægge eleverne at holde mund med lovbrud, der kan medføre, eller måske allerede har medført?, læk af cpr og andre personfølsommeoplysninger - Nej vel?

Det var da vist en sådan mørklægning, som CSC og andre er blevet bebrejdet i stor stil, så det kan vel kun være fordi, der her "blot" er tale om en skole, at man ikke ser det som lige så alvorligt. Men hvorfor egentligt ikke?

Hvem ved egentligt på nuværende tidspunkt, om andre har været inde og snuse, inden Jonas opdagede hullet? Hvem ved, om det allerede KAN være blevet misbrugt?

Så hvorfor er det en mindre skandale end hos CSC (jeg erkender, at csc-sagen lige nu er lidt ulden i min erindring, så det er muligt, at jeg skyder over målet med denne sammenligning).

  • 2
  • 0
Log ind eller Opret konto for at kommentere