KMD på Facebook: Borgeren gik for langt

Illustration: KMD
Advokat og strafferetsekspert: »Der er ikke noget strafbart i dette her.«

I et indlæg på Facebook tirsdag prøver KMD at besvare den svære kritik af firmaet, der er opstået i kølvandet på politianmeldelsen af en borger, som ville gøre Frederiksberg Kommune opmærksom på et sikkerhedshul i kommunens pladsanvisningssystem.

KMD ringede også til direktøren for Netcompany - den virksomhed, som borgeren var ansat i.

I indlægget fastholder KMD, at borgeren har overtrådt loven:

»Han trækker flere persondata ud end nødvendigt for at påvise hullet. Helt præcis 168 danskeres navne og CPR-numre. Og han søger efter konkrete navne. Det havde været nok at demonstrere fejlen ved simple manuelle opslag – i stedet for i programkoden at indsætte en række forprogrammerede scripts, der fremskaffer adgang til en større mængde CPR-numre og navne. Dette er efter vores vurdering ikke acceptabelt,« skriver KMD på Facebook.

Borgeren, hvis navn er Esben Warming Pedersen, har tidligere over for Version2 nægtet at have ‘indsat scripts i koden’, og han mener i øvrigt, at han er 'totalt uskyldig'.

Den mening deles af advokat og ekspert i strafferet Morten Bjerregaard, som ikke mener, at KMD’s nye oplysninger ændrer noget:

»Han tester, om der er en fejl. Der er ikke noget misbrug. Jeg tror, der er mediestrategi i det fra KMD’s side – det er for at sløre billedet. Det, der er kernen i denne her sag, er, at de selv har lavet en fejl, og politianmeldelsen kommer først efter, han er gået til medierne. Der er ikke noget strafbart i dette her.«

Fandt nyt hul i skoleopskrivning

Version2 har stillet følgende spørgsmål til KMD, som kommunikationschef Christoffer Hellmann svarer på i en mail til Version2:

Kan KMD afvise, at andre systemer har tilsvarende sikkerhedshuller?

»På baggrund af lukningen af sårbarhederne i Digital Pladsanvisning meldte vi den 13. juni ud til vores kunder, at vi har i gangsat yderligere sikkerhedsvurderinger af KMD’s systemlandskab. Målet var selvsagt at undersøge, om den type opslag, der blev anvendt i Digital Pladsanvisning, også er blevet anvendt i andre systemer. I forbindelse med gennemgangen har vi identificeret, at metodikken blev brugt i vores system til skoleopskrivning. Vi har ikke viden eller mistanke om, at løsningen har været udsat for misbrug, men vi har valgt at lukke for forældres mulighed for at indtaste kontaktpersoners personnummer i KMD Skoleindskrivning.«

Hvilken fremgangsmåde skal en borger, som finder et sikkerhedshul, følge for at rapportere det?

»Den sædvanlige procedure for indmelding af fejl i KMD’s systemer, herunder sikkerhedshuller, er gennem vores kunder. Hvis en borger opdager en fejl i et KMD-system, er det ikke altid, at man kan se, at der er tale om et KMD-system. Derfor er det oplagt f.eks. at tage fat i den kommune, der benytter systemet i sin borgerservice eller lignende,« skriver han og fortsætter:

»Processen er så, at kommunen tager fat i vores supportlinje. Hvis problemet ikke umiddelbart kan løses der, så går henvendelsen videre til vores udviklingsorganisation. Hvis sagen kræver mere information, eller der er behov for en dialog om løsningen på problemet, vil der typisk være en proces frem og tilbage mellem KMD og kommunen og sandsynligvis også mellem kommunen og den pågældende borger. Man er som borger eller bruger af et KMD-system også velkommen til at tage direkte kontakt til os. Det kan man gøre ved at skrive på vores hovedmail eller benytte vores whistleblower-ordning.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Politiet har sigtet Esben for hacking:
http://nyheder.tv2.dk/krimi/2017-06-21-fandt-fejl-i-it-system-da-son-sku...

Bliver KMD mon også sigtet for uagtsom omgang med persondata?

Jeg håber, at der nogen i KMD, der skammer sig. Oven på gårdsdagens historie om fagforeningen, som har sagsøgt KMD, da disse uden at orientere fagforeningen havde droppet udviklingen af det system, som var aftalt, er der ikke megen glorie (eller goodwill) tilbage.

Og det hjælper ikke, at de fremturer i samme skure på Facebook. Skam jer!

  • 42
  • 3
Mike Mikjær Blogger

At vi ikke har nogle politikere eller embedsmand der har nosser nok til at sætte KMD på plads ... på den anden side set ville det jo også være noget snask at begynde at holde folk ansvarlige for egen inkompetence ...

  • 29
  • 4
Christian Schmidt

Jeg kan ikke udtale mig om juraen. Men hvis jeg havde opdaget et sådan hul, havde jeg holdt mig til væsentligt færre end 168 stikprøver, netop for at undgå at få ørerne i maskinen. Der er jo trods alt tale om oplysninger, som er hemmelige (medmindre de 168 personer har givet lov til det), så jeg har slet ikke lyst til at kende til så mange eksempler.

  • 9
  • 16
Yoel Caspersen Blogger

Men hvis jeg havde opdaget et sådan hul, havde jeg holdt mig til væsentligt færre end 168 stikprøver, netop for at undgå at få ørerne i maskinen.

Han har vel netop holdt sig på måtten, hvis der kun er tale om 168 stikprøver? Med sit script kunne han jo have tømt hele CPR-registret på kort tid, hvis han ellers ville - og det havde efter min mening nok været lige over grænsen.

Havde han ikke dokumenteret, at han kunne hive 168 stikprøver ud af systemet, havde KMD altid kunnet affeje ham med en søforklaring om indbygget rate-limiting, brute-force-beskyttelse o.l. Det kan de ikke nu.

  • 37
  • 3
Christian Schmidt

Han har vel netop holdt sig på måtten, hvis der kun er tale om 168 stikprøver

For læserne på Version2, der kender til denne type problemer, ville et par eksempler være tilstrækkeligt.

Hvor mange stikprøver det kræver at overbevise KMD og TV-Avisens seere, kan vi kun gisne om.

Det er ikke min hensigt at pege fingre af Esben Warming Pedersen. Al ære og respekt for, at han ikke bare har vendt det blinde øje til problemet. Og han kan meget vel have retten på sin side til at gøre, som han har gjort.

Min pointe er, at man i disse sager kan nedbringe risikoen for politianmeldelser og andre ubehageligheder ved at gå lidt mere forsigtigt til værks – i hvert fald til at starte med. Selvom man har retten på sin side, er det sikkert ikke særlig rart at blive sigtet for hacking.

  • 7
  • 7
Elias Ringhauge

Min pointe er, at man i disse sager kan nedbringe risikoen for politianmeldelser og andre ubehageligheder ved at gå lidt mere forsigtigt til værks[...]


Absolut enig, men jeg hælder også lidt til det som Yoel fremsætter. Medmindre du er it-kyndig, så har du ikke en god mulighed for at gennemskue, hvor stor problemet er baseret på tekniske fagtermer. Derimod forstår de fleste godt at 100+ CPR numre på kort tid i en simpel demonstration er et stort problem.

Når KMD har en masse projekter med det offentlige, hvor persondata indgår, og samtidig ignorere anmeldelser til dem, så er det i borgens interesse at kunne forstå problemets størrelse.
Måske kommer det til at have en konsekvens en dag...

  • 20
  • 4
Mark Klitgaard

Min pointe er, at man i disse sager kan nedbringe risikoen for politianmeldelser og andre ubehageligheder ved at gå lidt mere forsigtigt til værks – i hvert fald til at starte med. Selvom man har retten på sin side, er det sikkert ikke særlig rart at blive sigtet for hacking.

Han gik jo også forsigtigt til værks til at starte med da han kontaktede KMD inden han gik til medierne. Når KMD så vælger at ignorere hans henvendelse, så synes jeg han træffer det eneste rigtige valg ved at gå mere systematisk til værks.

  • 16
  • 4
Bjarne Nielsen

så hvor mange stikprøver det kræver at overbevise TV-Avisens seere ser ud til af være et vigtigt tal

Bestemt, men ikke kun. For "jeg kan se min søster" vil hurtigt blive talt ned til noget ikke særligt farligt og kun med forudgående viden af de folk, som ikke forstår nettet og moderne IT (tilsyneladende inkl. C-laget i KMD).

Derfor er demonstrationen af, at det kan bruges til potentielt "at tømme CPR-registeret" nødvendig. Det er vist også først der, at de går helt i panik. Ikke noget kønt syn.

Hvorefter vi er tilbage ved start: hvordan skal vi kunne indrapportere sikkerhedsproblemer, når der er så lidt plads imellem at blive ignoreret og fuld panik?

  • 15
  • 1
Tom Paamand

Jeg satte også et sådant script i arbejde - et år efter at jeg grundigt havde påvist for en fagforening, at enhver via simpel fejltastning kunne hente meget personlige oplysninger på samtlige medlemmer. Deres hjemmeside var fortsat pivåben, men da jeg så via udskriften kunne sende personlige udskrifter af bestyrelsens egne medlemmer til dem selv, blev der endelig reageret.

  • 17
  • 0
Toke Herkild

Finder tilstadighed at tomme tønder buldre højest, hvis jeg ellers har læst artiklerne korrekt har Esben lavet et script der ligger lokalt og som automatiserer en skevens udført af hans browser. (Makro).

Er meget spændt på hvorledes en lokal automatisering af browser kan oversættes til Hacking.

Det er jo lettere beskæmmende hvis man kan blive anklaget for hacking hvis man logger på et system med sin egen konto og anvender en søge-formular der er tilgængeligt på brugerkontoens privilegier.

  • 8
  • 1
Thomas Hedberg
  • 2
  • 0
Knud Larsen

Ny lov om beskyttelse af data pålægger private virksomheder uhørt store bøder for fejl.
I den contekst er det selvfølgelig slet ikke rimeligt, at offentlige og halvoffentlige selskaber bare kan opføre sig som elefanter i et glasbur uden konsekvens.
Det er dette, der er sagens kerne.
Diskrimination!

  • 3
  • 3
Benjamin Bach

Det er jo lettere beskæmmende hvis man kan blive anklaget for hacking hvis man logger på et system med sin egen konto og anvender en søge-formular der er tilgængeligt på brugerkontoens privilegier.

Ja, det er interessant, at man kan dømme den svage part af 2 parter (virksomhed vs borger) for at handle i ond tro eller på nogen måde have skadende effekter på virksomhed eller samfund efter præceptive regler (Straffeloven). Der må være nogle fundamentale retsprincipper, der går helt af fløjten, hvis man kan det.

Sigtede vidste godt, at tilgangen skete med hans brugers data overalt som digitale fingeraftryk - det er selvsagt med intentionen om at blive opdaget, især udtrykt ved at han selv personligt indrapporterer fejlen.

Hvis der var en bonus pater digitalis, skulle det da være Esben Warming, der på alles vegne har afsløret den pligtforsømmelse, som KMD "leverer" (meget hurtigt og til tiden endda), når der sker indrapporteringer af alvorlige fejl i håndteringen af persondata.

Det er klart, at ingen har lidt skade, andet end KMDs omdømme (ganske selvforskyldt).

Så hele spørgsmålet om søgsmålskompetence burde vurderes her (selvom jeg ikke helt ved, om det giver mening, når det er Straffeloven)! Kan KMD på baggrund af at:

  1. ingen har lidt skade (ingen data er lækket)
  2. intentionen tydeligt og beviseligt har været at påvise og dermed undgå skade ifm. deres egen uagtsomhed

...virkelig påkalde sig at have nogen som helst Straffesag? Præcis hvad skal straffes? Hvad er formålet med straf?

Kan man med andre ord ved at:

  1. Handle i god tro
  2. ikke forsøge at skjule sin identitet
  3. ikke forvolde nogen skade

...blive dømt efter Straffeloven? Ja, nu er der jo rejst en sigtelse, så what the fuck, det er der åbenbart nogen, der synes.

Når nu KMD forhåbentligvis taber denne sag, kan de forhåbentligvis dømmes for injurierende ytringer ved fra start af at kalde afsløringen for "hacking" i den almindelige offentlighed. De burde vide bedre og anvende andre betegnelser, når de selv mener, at sagen skal for en domstol. Her er et værre eksempel fra deres Facebook-tråd:

Vi kunne, i den dokumentation som vi fik forelagt af Danmarks Radio, konstatere, at en navngiven it-professionel fra en virksomhed i branchen uretmæssigt havde været inde i et af vores it-systemer. Det undrede vi os over, og kontaktede derfor hans arbejdsgiver for at høre, om de havde kendskab til det. Vi havde en fin dialog, og fik bekræftet at virksomheden ikke kendte noget til det. Det var hensigten med vores kontakt.

Vi blander os som udgangspunkt ikke i, hvad vores medarbejdere foretager sig i deres fritid.

Venlig hilsen
Sara, KMD.

Det er løgn, at han har været "inde i deres it-systemer". Det gør man ikke ved at tilgå data via deres egen fejlbehæftede hjemmeside. Gad vide, om det stemmer overens med materialerne fra DR.. fordi hvis de ikke kan fremlægge beviser herfor, så ligner det en injuriesag lige dér.

Måske deres advokater i stedet burde tale om den åndssvage part (KMD), og at det er herigennem, de føler sig krænkede og bør have retslig beskyttelse.

»Højt-ærede dommer, De må forstå, at vi jo er den svage part.. altså etisk, kompetencemæssigt og kommunikationsmæssigt.«

  • 8
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize