Politianmeldt af KMD for hacking: »Jeg er totalt uskyldig«

Netcompany-ansat, som KMD har politianmeldt for hackingforsøg, har brugt ajax-kald til at vise sikkerhedshul.

Esben Warming Pedersen, som er ansat i Netcompany, er den person, som KMD har politianmeldt for hackingforsøg mod KMD's pladsanvisningssystem i Frederiksberg Kommune.

Læs også: KMD forklarer hacker-anmeldelse: »Det var naturligt for os at kontakte vedkommendes arbejdsplads«

I dette interview med Version2 fortæller han sin side af sagen.

Esben Warming Pedersen føler sig fuldstændigt i uskyldig i hacking, som KMD har politianmeldt ham for.

Det hele begyndte, da Esben Warming Pedersen, som er på barsel, skulle registrere sønnen Eigil i Frederiksberg Kommunes Pladsanvisningssystem.

»Jeg fandt fejlen, da jeg skulle søge plads til Eigil, og så kommer jeg ind på pladsanvisningen, hvor der er det her felt, hvor man kan anvise en samlever. Så kan man skrive et CPR-nummer, og så slår den navnet op. Jeg arbejder hos Netcompany, og det har ikke noget med historien at gøre, andet end at der er nogle alarmklokker, der ringer. Så prøver jeg med min samlevers søsters nummer, og her dukker navnet også bare frem. Så tænker jeg: Nå, der er ikke noget med samtykke eller bopælsadresse eller noget.«

Esben Warming Pedersen skriver et Javascript, som benytter den knap på websiden, hvor man kan søge på navne med et CPR-nummer.

»Så jeg automatiserer noget, jeg kunne have gjort i hånden, og på den måde viser jeg, at man kan tømme CPR-registeret for mennesker, der er født på en bestemt dato, på måske to et halvt minut.«

Han benytter et såkaldt ajax-kald, som gentager, hvad der sker, når man klikker på knappen i systemet.

»Jeg prøvede at se, om jeg kunne finde statsministerens CPR-nummer ud fra fødselsdagen.«

KMD vil ikke kendes ved fejl

Esben Warming Pedersen kontaktede lederen af Pladsanvisningen i Frederiksberg Kommune og fortalte om fejlen den 17. maj.

»De henvender sig til KMD, som ikke kan konstatere nogen fejl. Jeg kender én hos Danmarks Radio, som jeg kontakter. Jeg kunne se på KMD’s hjemmeside, at pladsanvisningssystemet havde været sat i værk for en del år siden.«

Nu retter Danmarks Radio henvendelse til KMD.

»Danmarks Radio får at vide at der ikke er nogen fejl,« siger Esben Warming Pedersen.

Læs også: Konkurrent-ansat politianmeldt efter at have påpeget sikkerhedshul i KMD-system

I en opfølgende mail forklarer han, at han allerede på det tidspunkt har sendt videomateriale til DR som dokumentation for problemet. Det gør Esben Warming Pedersen dagen efter, han har opdaget fejlen, det vil sige 18. maj.

Ifølge Esben Warming Pedersen undersøger KMD sagen videre bag linjerne og lukker fejlen i stilhed den 24. maj - uden at informere DR eller Frederiksberg Kommune.

Da Esben Warming Pedersen kommer hjem fra ferie, sender han en video, han har optaget, som viser sårbarheden, til Danmarks Radio. Mediet sender videoen videre til kommunen for at dokumentere, at fejlen findes.

»Jeg har ikke anonymiseret mig selv i videoen, for jeg bruger jo websiden, sådan som den er beregnet til.«

KMD ringer til Netcompanys direktør

Nu spidser tingene til for Esben Warming Pedersen.

»Så ringer KMD til direktøren for min arbejdsgiver, Netcompany. Den 9. juni får jeg at vide fra min direktør, at KMD agter at politianmelde mig.«

Hvordan havde du det med det?

»Jamen, hvad skal jeg sige … Man bliver jo bange for, om man mister sit arbejde. Det er klart, at det er alvorligt, når ens øverste direktør ringer til én. Så tænker man: 'Hvad fanden har jeg gjort?' Selvom jeg også godt vidste, at jeg ikke havde gjort noget forkert, så tænkte jeg jo også på min familie. Hvad er det, vi skal til at igennem - en retssag for hacking for at have gjort opmærksom på et hul. Så skræmmer man jo folk med it-kundskaber, som jo er dem, der finder de her fejl.«

Da KMD kontakter Netcompanys direktør, ved direktøren ikke, at Esben Warming Pedersen faktisk har anmeldt fejlen til kommunen.

»De siger: 'En af dine medarbejdere har begået et hack imod os, og vi politianmelder vedkommende'. De kører på, at jeg skal politianmeldes og har hacket, og jeg tror, at det er for at få mig til at stoppe historien.«

»Totalt uskyldig«

Esben Warming Pedersen afviser helt at have begået hacking.

»De har valgt at politianmelde mig, fordi de mener, jeg har været inde og rode i deres kode. Det har jeg på ingen måde. Jeg har kigget i den HTML-kode, der var på siden. Jeg har ikke været inde på deres systemer på nogen måde. Jeg har simpelthen ikke begået hacking. Det har ikke noget med min arbejdsgiver at gøre. Jeg bliver bare indigneret som borger over, at it-sikkerheden er så dårlig på det system.«

I princippet kunne du løbe alle ti cifre igennem og få hele Danmarks CPR-register?

»Ja, det kunne lade sig gøre. Der er ikke nogen stopklods.«

Du mener, du er totalt uskyldig?

»Totalt uskyldig. Jeg kunne have gjort det samme i hånden. Jeg kunne have skrevet et CPR-nummer i min notesbog, trykket 'søg' og skrevet ned, hvis der kom et resultat. Jeg gjorde det med det formål at gøre opmærksom på fejlen over for dem, der har lavet systemet. Jeg har ikke været inde at snage, hvor jeg ikke skulle snage, eller skaffet mig uretmæssig adgang.«

Sagen bliver behandlet i aften i TV-Avisen på DR. Version2 forventer senere i dag at bringe et interview med direktør i KMD Mette Louise Kaagaard om sagen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (57)

paw madsen

Pas på ! Firma'er som er på vej ned vil altid forsøge at rive uskyldige med sig i graven.
Jeg håber for Danmark at KMD snart bliver opløst helt.
Jeg har virkelig ondt af de få sidste kompetente personer som stadig arbejder der inde.
KMD skulle har sendt et takkebrev og en flaske vin til manden. Og sendt en stor "Undskyld Danmark, vi er inkompetente." pressemeddelelse ud.

Michael Christensen

Når man modtager en PoC, der viser at man har et hul, der er så åbenlyst, så bukker man, takker man for hintet, retter fejlen og sender en flaske. Man afviser ikke og man hugger ikke hovedet af budbringeren. At blankt afvise løser ingen problemer.

Malthe Høj-Sunesen

Straffelovrådet har følgende bemærkning ang. opdatering af straffeloven:

"Det er i den forbindelse Straffelovrådets opfattelse, at hvis en enhed er koblet til internettet på en sådan måde, at enhver ved anvendelse af almindelige programmer til internetkommunikation, eksempelvis en sædvanlig webbrowser, kan tilgå oplysninger på enheden, bør sådan tilgang som et klart udgangspunkt ikke anses for uberettiget adgang til en andens oplysninger. [...] I forlængelse heraf kan den adgang, man skaffer sig til en sådan enhed med henblik på at tilgå sådanne oplysninger, ikke anses som uberettiget adgang til et datasystem. Der sigtes her alene til adgang med henblik på læsning af oplysninger", http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser...

Men det er ikke lov endnu. Straffeloven §263, stk. 2 finder anvendelse her. Spørgsmålet er så, om Esben Pedersen var berettiget eller uberettiget i sin adgang. Som Morten Toudahl siger, så peger tidligere domme på, at det ikke er uberettiget adgang hvis man ikke gør det for egen vindings skyld.

Full disclosure: Jeg arbejder selv ved Netcompany.

Mads Bjærge

Jeg kan ikke svare på det strafferetslige område, men synes ikke han forklaring er sammenhængende.. Dels 1 at han scripter noget som udnytter hullet, hvilket vel ikke havde været nødvendigt for at lave hans "PoC". 2 at han fremfor at stille sig tilfreds med at hullet er lukket, kontakter DR, men det er jo ikke kriminelt at gøre... Personligt sætter jeg pris på at han fremhæver sikkehedshuller, men synes måske det kan gøres på en anden måde... Jeg håber det bedste for Esben...

Edit..
Nogen nævnte faderen som fandt et sikkerhedshul i et børnehave system, ved nogen om den sag er bragt til ende, eller om han fortsat er sigtet i sagen?

Mads Bjærge

Det er mig der ikke har læst godt nok kan jeg se, jeg forstod det som om at han fremsendte en video af det til DR efter han kom hjem fra ferie, og altså ikke havde kontakt før, derfor fremstod det for mig som om hullet var lukket, men at han fortsatte "kampen"... Det var tydeligvis ikke korrekt..

Mads Bjærge

Jeg tror det er det her som har forvirret mig:

"I en opfølgende mail forklarer han, at han allerede på det tidspunkt har sendt videomateriale til DR, som dokumentation på problemet. Det gør Esben Warming Pedersen dagen efter, han har opdaget fejlen, det vil sige 18. maj.

Ifølge Esben Warming Pedersen, så undersøger KMD sagen videre bag linjerne og lukker fejlen i stilhed den 24. maj - uden at informere DR eller Frederiksberg Kommune.

Da Esben Warming Pedersen kommer hjem fra ferie, sender han en video, han har optaget, som viser sårbarheden, til Danmarks Radio. Mediet sender videoen videre til kommunen for at dokumentere, at fejlen findes."

Så tydeligvis "my bad" at jeg ikke har fanget det før at video er afsendt af flere omgange..

Simon Mikkelsen

Han fatter mistanke til et sikkerhedshul og efterprøve det på et familiemedlem. Der er det helt ok.

Men den bliver farlig når han begynder at finde flere personer og særligt automatisere det. Det er ikke nødvendigt for at bekræfte og rapportere hullet.

Det er godt at KMD lukker det hurtigt, men at de er så lukkede og kvitterer med opkald til arbejdsgiver, deres pressemeddelelser og politianmeldelse, siger mere om dem selv.

Mit råd til alle der oplever noget lignende en anden gang: Man ringer ikke til en leverandør så snart man ser et tal i en URL. Men når man har lavet den mindst mulige bekræftelse af at der er et problem, så stopper man og kontakter leverandøren. Så undgår man gråzoner.

Anders Rosendal

"Så ringer KMD til direktøren for min arbejdsgiver, Netcompany"
Hvad fanden bilder de sig ind?

Det er godt nok beskidt. Jeg ville godt nok ikke være stolt over at arbejde for sådan et firma. Føj.

Ditlev Petersen

Mit råd til alle der oplever noget lignende en anden gang: Man ringer ikke til en leverandør så snart man ser et tal i en URL. Men når man har lavet den mindst mulige bekræftelse af at der er et problem, så stopper man og kontakter leverandøren. Så undgår man gråzoner.


Det er måske rigtigt nok. Men man kan jo altid spekulere på, om interessen fra journalisters (og kommunernes) side var helt så stor, hvis man har trukket sin søsters personnummer ud i forhold til at demonstrere, at man kan trække hvad som helst ud.
Som KMD selv ville sige det, så sker der egentlig først et misbrug, hvis de fundne personnumre gives videre. Altså bortset fra at give dem videre til kineserne.
Men de optræder måske på den frygtelige video?

Og KMD havde nok politianmeldt det uanset hvad.

Mads Bjærge

Det ser dog ud til at André Rogazewski ikke mener det skal have konsekvenser for Esben, så om ikke andet kan det vel få ham til at sove lidt trygt om natten :)

Morten Hansen

"Men den bliver farlig når han begynder at finde flere personer og særligt automatisere det. Det er ikke nødvendigt for at bekræfte og rapportere hullet."

Helt enig.
Efter at sagen om børnehavehackeren havde lagt sig lidt, var der flere i debatten der bemærkede at nok var det en meget usympatisk og gammeldags måde at reagere på fra leverandøren.
Men målrettet at trække bukserne ned på folk der mangler livrem og seler, og udstille det i pressen er måske lidt overdrevent (dumsmart/umodent).

At man så måske burde have et regelsæt eller en ombudsmand, er måske kunne håndtere noget med "Pligtforsømmelse" eller "Groft uagtsomhed" inden for offentlig IT og på den måde kunne anklage en leverandør (offentlig eller privat) for ikke at leve op til sit ansvar, ville måske forskåne flere pinlige tabloid-udstillinger af bl.a. sikkerhedsbrist.

Ebbe Ottzen

Som jeg læser det, så siger KDM at der ikke er en fejl på deres system efter at Esben har kontakten dem, er det rigtig forstå? For så kan jeg ikke se at de kan gøre noget. Da de har faktisk sagt at det der forgå er efter bogen og ikke en fejl.
Det er lidt som en dør hvor på der stå du må ikke åben den, så spørg du ejerne af døren om du må åben døren og det siger han ja til og det gør du så og så bliver du anmeld for ulovlig indtrængning...

Misforstå jeg det?

Thomas Graungaard

Men den bliver farlig når han begynder at finde flere personer og særligt automatisere det. Det er ikke nødvendigt for at bekræfte og rapportere hullet.

Automatiseringen er interessant, da den kan afsløre hvorvidt de rate-limiter opslag. Sikkerhedshullet er i min optik mere alvorligt da der ingen begrænsninger var på antal opslag der kunne udføres.

Havde der været en grænse på f.eks. 5 opslag, inden systemet satte en stopper for det, var det stadig et relativt alvorligt sikkerhedshul, men der havde ikke været nogen risiko for at man kunne arbejde sig igennem hele CPR-registret.

Martin Skou

At de ringer til Netcompany, handler vel om at det er Netcompany som står som ejer af ip'en som handlingen er udført fra.
Enten fra deres kontor, eller via medarbejderbredbånd.

Peter Christiansen

Som jeg læser det, så siger KDM at der ikke er en fejl på deres system efter at Esben har kontakten dem, er det rigtig forstå? For så kan jeg ikke se at de kan gøre noget. Da de har faktisk sagt at det der forgå er efter bogen og ikke en fejl.

Det er ikke en fejl som sådan, det er mere en feature. At man kan slå vilkårlige CPR numre op for at finde "samlever" til udfyldning af en formular.

At man så ikke fra KMD's side har lagt nogen form for "timer" ind, for hvert opslag er uheldigt.

Man kan således lave et program til automatisk at gætte på en persons CPR nummer, hvis man har hans fødselsdag og navn. Grundet modulus 11-metoden der bliver brugt til validering af cpr numer (indtil for nyligt hvor man løb tør for numre). Der er omkring 400 numre der skal løbes igennem for at gætte et cprnummer hvis man benytte m-11 metoden, uden er det 10k.

Hvis de havde indlagt en timer, kunne man lave paralelle forespørgsler, så hvor end man barberer grisen kan man få fat i enhver persons cpr nummer.

Per Møller Olsen

Hvis nu persondatafordningen kommer til at virke efter hensigten - og leverandøren bliver straffet.

Så bliver det spændende at se, hvor mange sager KMD m.fl. kan tåle at få på halsen. Straffen er på 4 % af den globale omsætning.

Måske skulle KMD skynde sig at få et bounty-program sat i værk. Det vil nok være sjovere for dem at udbetale kr. 10.000,- kontant pr. funden sårbarhed. 25 sager på et år kunne jo hurtigt få bugt med hele omsætningen. Gad vide hvor få sager der skal til for at ramme overskuddet?

Nicolaj Hansen

Tilsyneladende er sagen kun spændende for Version2, når TV2 har bragt artiklen :)

D. 24 Januar 2017 afslører jeg dette for Version2's Magnus Boye :) Han siger så han går videre med sagen til de rette myndigheder. Det var jo heldigt for mig, at han ikke gjorde, for så var jeg jo nok også blevet politianmeldt.

@Version2. Næste gang man bliver enige om, at i går videre med sagen til de rette kilder, så regner jeg med at i faktisk gør det.

Anne-Marie Krogsbøll

Data tilsynet mener, at det er kommunens ansvar:
http://itwatch.dk/secure/ITNyt/Brancher/Sikkerhed/article9656313.ece

Jeg har ikke abonnement, men lige umiddelbart har jeg svært ved at forstå, at kommunen kunne have gjort andet end at kontakte KMD om sagen?

At KMD så hævder, at der ikke er nogen fejl - umiddelbart lyder det jo ikke som en svær fejl at konstatere, så det er da foruroligende, hvis KMD ikke er i stand til at finde den.

Men måske skulle kommunen selv have prøvet, om fejlen stadig bestod, på trods af KMD's forsikringer - netop fordi det jo ikke lyder til at være svært at efterprøve.

Gad vide, hvad der er foregået i KMD's hoveder, når man blot hævder, at fejlen ikke eksisterer? En ting er selvfølgelig, at den er let at konstatere - men måske var den svær at fixe?

Gad vide hvilke andre fejl, KMD er blevet varslet om, men har ignoreret?

Christoffer Baadsgaard

Jeg forstår ikke at Esben kan politianmeldes for at udnytte et hul som KMD selv påstår ikke findes...
At KMD kontakter hans arbejdsgiver er under bæltestedet og udelukkende afpresning.
At han scripter det er IMHO nødvendigt for at dokumentere omfanget af hullet. Altså at der ingen form for limit er på antal kald, ingen throttles eller noget.

Han kontakter databehandleren med det samme. Ligeledes den dataansvarlige, der benægter fejlens eksistens. Det er jo klokkeklart, at han ikke har ondsindede hensigter.

KMD burde politianmeldes for lemfældig omgang med vores personfølsomme oplysninger. Om ca. 1 år når den nye Persondataforordning træder i kraft, vil KMD kunne idømmes op til 100 mio. i bøde for sådan en overtrædelse. Pt. får de max en påtale.

Danmark er slet ikke klar til cyberkrig og sikkerhed generelt...

Anne-Marie Krogsbøll

Gert Madsen:

Ja bestemt - det er et godt princip. Men har kommunen ikke gjort nok for at følge op i denne sag? Måske er det et spørgsmål om, at de ikke i tilstrækkelig grad har fulgt op og tjekket, om det var i orden efter KMD's besked?

Og har KMD ikke også et stort ansvar? Det er der, jeg undrer mig - at det i Datatilsynets øjne ser ud til at være enten kommunen eller KMD. Kunne det ikke være begge - da KMD jo for mig at se er mere skyldige i forsømmelse (med mindre der er noget, vi ikke ved om, hvad der er foregået mellem KMD og kommunen).

Gert Madsen

Men har kommunen ikke gjort nok for at følge op i denne sag


Så vidt jeg kan læse, har det stået på i adskillige år.
Så det passer nok meget godt med den seneste rapport om datasikkerheden i kommunerne: Kommunen har ikke tjekket. Punktum.

Det ser ikke pænt ud at KMD har lavet den pågældende funktion, men det er kommunens opgave at sikre at KMD's system lever op til kravene. Jeg synes egentlig at det er OK at holde fast i, at kommunen har et ansvar, som ikke bare kan tørres af på en leverandør.
Det er vejen frem, hvis vi skal gøre op med, at datasikkerhed er noget, som bare kan spares væk.

Anne-Marie Krogsbøll

Gert Madsen:

Men kommunen har vel ikke vidst det i 12 år? I så fald er det meget "kriminelt". Jeg mener ikke, at kommunen er ansvarsfri - men jeg har svært ved at se, at KMD er det. De bliver advaret, siger, at det ikke er en fejl, og retter den først, da der kommer medier på (så vidt jeg har forstået). Det kan I mine øjne ikke være ansvarsfrit - med mindre det er kommunen, der har bedt dem om at handle på den måde.

For mig at se må der være forsømt ansvar nok til begge.

Gert Madsen

Men kommunen har vel ikke vidst det i 12 år


Har de ikke ?
Esben Warming Pedersen skriver jo at alarmklokkerne ringer med det samme han ser funktionen. Det burde de jo også gøre hos kommunens folk.
Det her handler om systemets funktion, ikke om nogen teknisk fejl.

Jeg er fuldstændig enig i at KMD har lavet noget ....
Men er det Datatilsynets opgave at holde øje med leverandørerne ?
Skal de ikke først og fremmest holde øje med at dataejerne opfører sig ordentligt ?

Personligt er jeg ikke meget for delt ansvar. Jeg synes al erfaring taler imod det.

Finn Aarup Nielsen

Findes der en dansk pendant til Common Vulnerabilities and Exposures? Det burde være muligt for sikkerhedsforskere (professionelle såvel som fritids) at anmelde problemer sikkert og uden - i første omgang - offentliggørelse, og efterfølgende få credit for deres opdagelse. Esben Warming Pedersen og Nikolaj Hansen burde kunne skrive et CVEDK-nummer på deres CV. Som det er i øjeblikket virker det som om det er journalister der skal virke som den uafhængige part.

Anne-Marie Krogsbøll

Du har sikkert, Gert. Jeg har det bare svært med, hvis databehandlere slet ikke skulle have noget ansvar - det lyder for mig ikke særligt sikkert, hvis de til hver en tid kan skyde ansvaret over på dataansvarlige.

Jeg er vred over KMD's håndtering af dette - men juridisk er det muligt, at den bedste løsning er at holde kommunen ansvarlig.

Men er der ikke lovkrav om, at alle der håndterer følsomme data, selv har ansvaret for at gøre det forsvarligt? Det gælder vel så også databehandlere - hvorfor skulle de ellers gøre sig umage på det punkt?

Anne-Marie Krogsbøll

Tak for svar, Poul Henning Kamp:

Ideen er vist nok at det skal dataejer pålægge databehandlerne rent kontraktuelt.


Ja, og det har jeg også indtryk af, at man ofte gør (efter diverse aktindsigter, jeg har søgt i andre offentlige systemer) - hvorefter man mener, at man ikke selv har noget ansvar mere. Det kører lidt i ring (ansvaret), synes jeg.

Så skulle kommunen jo i dette tilfælde have opfyldt sin forpligtelse, hvis man har skrevet i kontrakten, at systemet skal opfylde persondatalovens krav. Mon ikke de har gjort det?

Jeg er ikke tryg ved, hvis man kan unddrage sig forpligtelse til at kontrollere, om kontraktbestemmelserne overholdes, blot man har skrevet i kontrakten, at databehandler skal handle lovligt. Der må være en pligt til både at skrive en ordentlig kontrakt og kontrollere, at den overholdes.

Eller mener du, at det i kontrakten skal aftales, at databehandler har ansvar - ikke bare, at de skal gøre tingene ordentligt? Hvad så, hvis dataejer ikke har skrevet det i kontrakten - kan databehandler så skalte og valte uden konsekvenser ift. div. lovgivning om persondata?

Men skal Datatilsynet ikke netop godkende disse kontrakter og databehandleraftaler?

Jeg giver op nu... jeg bliver rundtosset..

Lærke Dalsgaard

Tidslinjen er uklar:

  • Esben Warming Pedersen kontakter lederen af Pladsanvisningen i Frederiksberg Kommune og fortæller om fejlen den 17. maj.

  • Han sender videoen til DR d. 18. maj.

Han giver med andre ord Frederiksberg Kommune 1 dags reaktionstid til at kontakte KMD (og herefter for KMD's systemudviklere til at undersøge sagen og vende tilbage).

Hvis det er sandt, at den barmhjertige it-samaritaners eneste ønske var at rette op på en sikkerhedsbrist, ville han vel ikke have være så hurtig på aftrækkeren i forhold til at få aktiveret mediemaskinen?

Lærke Dalsgaard

"KMD skulle har sendt et takkebrev og en flaske vin til manden".

Det ville der sikkert være gode overskrifter i:

  • KMD belønner hacker med CPR-misbrug på samvittigheden
  • KMD bestikker konkurrenters medarbejdere med vin og private breve
  • KMD nægter at anmelde sag mod formodet hacker, der dokumenterer sine gerninger på video

Medieverdens catch-22 ;)

Anne-Marie Krogsbøll

Ja, tidslinjen er i følge artiklen uklar (video til DR 18/6 eller efter hjemkomst fra ferie?) - men det fremgår trods alt, at han først går til DR, efter at KMD har afvist, at der er tale om en fejl.

Hvor tålmodig man så skal være i den situation - tja... man bliver vel ikke hacker af at have en (muligvis) kort lunte overfor den slags. Og da slet ikke, når firmaet, som her, har givet udtryk for ikke at tage det alvorligt? Der er jo trods alt tale om et hul, som stadig står piv-åbent og kan udnyttes. Så der vel god grund til ikke at have alt for lang tålmodighed - set fra borgernes (og ikke KMD's) synsvinkel?

Stig Robertsen

Der er fuld opbakning til Esben Warming Pedersen, selv om vi også er en slags konkurrenter.
Nu må Datatilsynet af egen drift træde ind i sagen og udbede sig dokumentation fra KMD på hvem hvad og hvor meget - og så give et bud på en bøde for lemfældig omgang med person-data.

Gert Madsen

hvorefter man mener, at man ikke selv har noget ansvar mere.


Den seneste rapport viste netop, at der kun sjældent findes en databehandleraftale.
Og endeligt er det også kommunens ansvar at der er revisioner og andre tjek, som viser at leverandøren faktisk overholder aftalen. Det rækker altså ikke at skrive en paragraf i en kontrakt.

Det er jo kommunen, som laver aftalen med en leverandør, ikke Datatilsynet.
Som næppe heller vil kunne påtage sig at godkende alle kontrakter som offentlige myndigheder måtte indgå.

Jeg vil da også mene, at dem som kræver data om os, skal have hånden permanent på kogepladen. Det skal man ikke kunne skrive sig ud af.

Lærke Dalsgaard

1) ”Så prøver jeg med min samlevers søsters nummer”
2) ”Esben Warming Pedersen skriver et Javascript, som benytter den knap på websiden, hvor man kan søge på navne med et cpr-nummer.”
3) ”Så jeg automatiserer noget, jeg kunne have gjort i hånden”
4) ”Jeg prøvede at se, om jeg kunne finde statsministerens cpr-nr ud fra fødselsdagen”

”Jeg har ikke anonymiseret mig selv i videoen, for jeg bruger jo websiden, sådan som den er beregnet til.”

Esben Warming Pedersen: Jeg er temmelig sikker på, at pladsanvisningen som webside ikke er beregnet til, at du skal teste din samlevers søsters CPR ... eller skrive et Javascript, som udnytter systemet .. eller forsøge at finde statsministerens CPR.
får

KMD har haft et svagt system, ingen tvivl om dét, og det er da selvfølgelig tragisk, hvis han står til at miste job og få en plet på straffeattesten, men jeg synes, at en overskrift som: "Jeg er totalt uskyldig" klinger noget hult, taget i betragtning, at han i sin euforiske bevis-iver netop skaber den type læk, som han hævder at advare imod. At trække folks personlige oplysninger (navne og CPR) ud af systemet og sende det gennem venner og familie og rundt til diverse mediehuse for at skabe overskrifter må siges at være en (i bedste fald) kontroversiel måde at få offentlighedens opmærksomhed på.

Hoder Jensen

At trække folks personlige oplysninger (navne og CPR) ud af systemet og sende det gennem venner og familie og rundt til diverse mediehuse for at skabe overskrifter må siges at være en (i bedste fald) kontroversiel måde at få offentlighedens opmærksomhed på.

Hvor får du det forløb fra? Det virker som opdigtelse og overdrivelse. Der bliver taget kontakt til DR, fordi KMD ikke tager henvendelsen seriøs, det kan man vist ikke tillade sig at klassificere som "At trække folks personlige oplysninger (navne og CPR) ud af systemet og sende det gennem venner og familie og rundt til diverse mediehuse".

Lærke Dalsgaard

"Hvor får du det forløb fra? Det virker som opdigtelse og overdrivelse."

Du har ret i, at det er spekulation. Hvad artiklen fortæller er:

"Jeg kender én hos Danmarks Radio, som jeg kontakter." (okay? ven? familie? forretningsforbindelse? Uanset, så håber jeg da inderligt, det er nogen, han har tillid til).

"Da Esben Warming Pedersen kommer hjem fra ferie, sender han en video, han har optaget, som viser sårbarheden, til Danmarks Radio. Mediet sender videoen videre (...)".

Hvor mange mennesker hos DR har haft øjne på de personlige oplysninger, som Esben gennem sin video viser, at han kan trække ud af systemet? Hvor sikkert har Esben selv opbevaret og distribueret den lækkede persondata i sin videresendelse af videoen?

"Der bliver taget kontakt til DR, fordi KMD ikke tager henvendelsen seriøs": Så er vi tilbage ved den mistænkelige tidslinje ... Hvis det, du skriver, var tilfældet, ville han vel ikke have sendt videoen til DR, før han havde modtaget svar fra Frederiksberg Kommune/KMD?

Anne-Marie Krogsbøll

Jeg er sådan set enig, Gert Madsen. Men jeg troede faktisk. at der altid skulle indsendes databehandleraftale til Datatilsynet - men det er måske kun hvis de selv beder om de i særlige tilfælde?

paw madsen

"Det ville der sikkert være gode overskrifter i:

KMD belønner hacker med CPR-misbrug på samvittigheden
KMD bestikker konkurrenters medarbejdere med vin og private breve
KMD nægter at anmelde sag mod formodet hacker, der dokumenterer sine gerninger på video
Medieverdens catch-22 ;)"

Hvis man da er sunket så lavt som at arbejde for extra bladet.

En anden fed måde KMD kunne have lavet overskrifter på er:
KMD belønner privat-person for at finde et 12 år gammel CPR-hul.

Nu har jeg selv adgang til CPR-broker via mit arbejde som databehandler i regionerne, og man giver ikke "danmark" adgangen videre, uden at tage reb og skammel med på arbejde først.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 13:45

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017