Konkurrent-ansat politianmeldt efter at have påpeget sikkerhedshul i KMD-system

Helt enig. Smid det ud på nettet anonymt og se lortet brænde op i stedet, efter de har fået, lad os sige, 30 dages varsel til at få det fikset.

Fordi det er sagen irrelevant. Kan du finde på et godt argument?

Det er helt vildt upassende at artiklen bringer vedkomnes ansættelsesforhold i den her sag.

Han bliver sikkert dømt og får en bøde og noget betinget. Fatter ikke man gider rapporterer de simple api fejl mere efter de sager man har set.

Man får ikke noget ud ad det udover i bedste fald et klap på skuldrene, i normal fald bliver man sagsøgt.

Når firmaerne ikke har noget bug-bounty program, forget it.

P.S. CPR registret er ikke hemmeligt, muligheden for at slå et cpr nummer op kan alle få adgang til uden problemer, det koster lidt pr. opslag, men hvis man er inklineret, no problem at all at lænse og eller "gætte" på et cpr nummer og teste det via cpr registret.

Muligheden for at søge på navn, adr etc. og få cpr nummer mv. frem er dog fremdeles til brug af personer i staten / kommunerne mv.

Fra DR-artiklen:

-Vi mener ikke, at der er noget forkert i den måde, vi har lavet det på. Der har selvfølgelig været en fejl. Det skulle ikke have været muligt at slå et givet navn på et givet cpr-nummer op. Der burde have været en begrænsning på, men vi mener ikke, der er noget galt i den måde, vi i øvrigt har lavet det på, siger KMD-direktøren.

Oversat: Der er intet galt i alt muligt, som er irrelevant. Præcis det, der er noget galt med, er der noget galt med. Men vi mener ikke, at der er noget galt med de dele, som er sagen uvedkommende.

Spader er spader, men der er altså også andre objekter, som ikke er spader. Dem skal vi også huske, når vi nu render rundt og kalder ting, som er en spade, for en spade.

- All brontosauruses are thin at one end, much MUCH thicker in the middle, and then thin again at the far end. That is the theory that I have and which is mine, and what it is too.

- That's it, is it?

Det er helt vildt upassende at artiklen bringer vedkomnes ansættelsesforhold i den her sag. Det handler om en forældrer som tilfældigvis fandt en lille fejl med store konsekvenser og ville gøre en god gerning ved at anmelde det til de rette myndigheder. Myndighederne tog let på det og vedkomne var nød til at kontakte medierne. Det er nærmest typisk for den slags sager efterhånden (hvilket er super beklageligt)

Hvor vedkomne er ansat hen er et forsøg fra KMD på at fjerne opmærksomheden fra dem selv og Version2 ser ud til at hoppe med på vognen.

Det præcise forløb er beskrevet i en anden artikel her: https://www.version2.dk/artikel/interview-hacker-tiltalt-jeg-totalt-uskyldig-1077581

"Fejlen har kunnet benyttes til at finde et navn ud fra et CPR-nummer. Ved at logge ind på Digital Pladsanvisning og sætte et hak under samlever-feltet dukker en CPR-søgemaskine op. Her kan vilkårlige CPR-numre indtastes, hvorefter systemet viser de tilhørende navne."

altså.. borgeren har klikket på en checkbox, og skrevet et vilkårligt tal ind i et tekstfelt - BUM - politianmeldelse.

Ok KMD, vi undlader hermed at hjælpe jer i fremtiden.

Jeg håber i hvert fald.

Uden at vide præcist hvilken metode der er brugt til "hacket" så tænker jeg at følgende artikler kunne være relevant:

• https://www.version2.dk/artikel/lovraad-slaar-fast-url-hacking-ikke-hacking-1076182
• https://www.version2.dk/artikel/boernehavehackeren-frifundet-landsretten-1074257

Under antagelse af at personen ikke har skaffet sig adgang til at bruge systemet på en ulovlig måde så synes jeg især følgende fra første artikel er interessant omend ikke direkte sammenlignelig:

Så længe du ikke ændrer noget
Straffelovrådet lægger i vurderingen vægt på, at der er adgang til f.eks. en server fra det åbne internet, og at alle potentielt kan få adgang med en almindelig webbrowser.</p>
<p>Den form for adgang bør 'som et klart udgangspunkt ikke anses for uberettiget adgang til en andens oplysninger', skriver rådet, der består af otte advokater, dommere og offentlige chefer.</p>
<p>»I forlængelse heraf kan den adgang, man skaffer sig til en sådan enhed med henblik på at tilgå sådanne oplysninger, ikke anses som uberettiget adgang til et datasystem,« fortsætter rådet i den over 300 sider lange betænkning.</p>
<p>Vurderingen baserer sig på den antagelse, at man blot læser information og ikke hverken ændrer eller sletter data. I så fald er der ifølge rådet tale om en mere alvorlig handling.

Hvordan kan det være hacking, personen har benyttet en funktion som den er tiltænk, at verificere at navn på en person er som forventet i forhold til det CPR nummer der er indtastet.

og set i forhold til at URL manipulation ikke anses som hacking, hvordan kan denne sag så være det?

Jeg tror vi har fat i et problem som domstolene også får svært ved vurdere.

Et par antagelser:

1. KMD er systemejer
2. Kommunen er dataejer

Jeg vil mene at Kommunen som dataejer er dem som Datatilsynet vil forfølge for data har ikke været beskyttet godt nok. Kommunen har så en opgave med at får KMD til at rette fejlen så databeskyttelsen genoprettes.

Hvis Datatilsynet får lov at give bøder til offentlige instanser, vil Kommunen skulle betale, de kan så måske gøre regres med KMD, men det vil afhænge af kontrakten, hvis kontrakten ikke behandler dette, vil kommunen sikkert skulle bevise at KMD har lavet så mange fejl at det er ansvarspådragende.

Hvis Datatilsynet ikke får lov at give bøder til offentlige instanser, vil jeg mene at sagen lige som dør her, altså at der ingen ting sker, ingen straf til nogen.

Det er åbenbart en skærpende omstændighed, at den der afslører bommerten, faktisk VED noget om it-sikkerhed. I modsætning til ...

Kan det passe, at KMD ikke har en presseafdeling, der kender Streisandeffekten? Nu kører historien i alle medier.

Lad os antage vi spoler tiden 1-2 år frem. GDPR er implementeret. Så skal kommunen vel lukke systemet ned indtil fejlen er rettet ? Dvs en anmeldelse lukker systemet for samtlige kommuner.

Så kommer det store spørgsmål, er KMD, som er dem der har sjusket iht GDPR strafansvarlige ? Kommunen er ikke. Og der er også noget med kædeansvar.

Men slipper en privat databehandler, der sjusker med sikkerheden for offentlige kunder, helt fri af GDPR ? Eller kan der køres en sag direkte mod den underleverandør der har sjusket ?

Dette vil vel være den eneste måde hvorpå vi kan få sikkerhed omkring vores data, da offentlige instansers immunitet ikke gør det attraktivt for dem at overholde lovgivningen. Det vil nok også betyde, at mange af de gamle systemer måske skal skrives om og udskiftes, eller at priserne stiger, og kommunerne kommer til at betale indirekte.

Ok KMD, vi undlader hermed at hjælpe jer i fremtiden.

Held og lykke med den nye persondataforordning.