Norsk politi: Folkeskoleelev har begået strafbar handling med afsløring af sikkerhedshul

Illustration: fintastique/Bigstock
EN 13-årig elev har angiveligt undersøgt en mappestruktur i systemet og fundet information om brugernavne og adgangskoder til elever og medarbejdere. Nu mener politiet, at han har begået en strafbar handling.

Politiet i Norge mener, at en folkeskoleelev, der i efteråret afslørede et sikkerhedshul på en skole i Bergen, har været skyld i en kriminel handling, skriver NRK.

Blandt andet er påstanden, at elevens handlinger har »medført, at Bergen har mistet omdømme«.

Den 13-årige elev undersøgte angiveligt en mappestruktur i systemet og fundet information om brugernavne og adgangskoder til elever og medarbejdere.

Han anmeldte sikkerhedshullet i kommunens computersystem, da han opdagede det, og indsendte også præcis information til skolen.

Meddelelsen blev dog ikke modtaget, og da han seks måneder senere opdagede, at sikkerhedshullet stadig var aktivt, loggede han ind som administrativ bruger og udsendte en e-mail i skolelederens navn, hvor han gjorde grin med it-sikkerheden i kommunens systemer.

Han har angiveligt også downloadet og gemt brugernavne og adgangskode.

Sagen minder meget om den, som Version2 omtalte for nogle år siden fra Selandia-skolen i Slagelse, hvor en elev fik en mundtlig advarsel efter at have gjort opmærksom på et sikkerhedshul i et udbredt system til studieadministration.

Eleven opdagede, at han kunne få adgang til eksempelvis CPR-numre i det studieadministrative system - blandt andet via et åbent wifi-net. Det viste sig også, at det var muligt at omgå det, der skulle forestille at være en login-beskyttet del af systemet ved at fjerne '_security' fra en URL.

Læs også: Fjernede '_secure' fra url i studie-it og fik advarsel: »Sørgeligt, at afgørelsen har trukket så langt ud«

Bergen Kommune får straf på 1,6 mio. NOK

Efter den norske elevs afsløring gav Datatilsynet Bergen kommune, hvad de i Norge kalder et strafgebyr på 1,6 mio. norske kroner. som følge af databrud.

I går blev det kendt, at kommunen accepterede gebyret.

Selvom eleven altså har afsløret et alvorligt brud på sikkerheden, mener politiet, at drengen skal retsforfølges.

Fordi han er under den kriminelle alder, er sagen frafaldet, men han har dog fået inddraget computerudstyr.

»Det er anvendt til en lovovertrædelse. Som følge af generelle forebyggende grunde er det ikke naturligt at returnere sådanne aktiver til gerningsmanden,« siger politibetjent Ole Bjørn Mevatne i det vestlige politiområde NRK.

Forældrene til den 13-årige er stærkt utilfredse.

»At politiet mener, at vores søn skal bære ansvaret for kommunens tab af omdømme, er urimeligt,« siger hans mor til NRK.

Artiklen stammer fra digi.no

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Er det den moderne udgave af majestætsfornærmelse? At det er strafbart for drenge at sige, at kejsere ikke har noget tøj på?

Og hvordan kan det falde han til last, at politiet frafalder en sigtelse?

Der må være mere i den her sag, for ellers er der noget, som jeg ikke forstår.

Ole Frederiksen

Jeg tænker at fremover bør alverdens kvikke 13-årige IKKE melde sådanne sager direkte til skolen/kommunen eller hvad de nu har været i stand til at "hacke" sig ind i, men i stedet melde dem til GDPR-enheden-hvad-de-så-end-hedder for ikke at beskytte deres data ordentligt.

Jeg er overbevist om, at det kan gøres anonymt og med den rette dokumentation (liste over brugere/passwords) vil den hackede enhed få et ordentligt hak i tuden økonomisk set (op til 4% af deres årlige omsætning, hvordan man så beregner det for en kommune).

Tja, de bad selv om det, så de ligger som de har redt!

Jens Jönsson

Det viser bare endnu engang, at "the good guyz" skal passe på, når de finder sådanne huller.
De skal anmelde sikkerhedshullet anonymt og til flere instanser samtidigt, sådan at der (med sikkerhed) bliver taget hånd om det.

Utroligt at det skal blive ved og være sådan. De fortjener i stedet at hele lortet blev hacket af nogle der ville dem det ondt...

Mogens Lysemose

Er Norsk politi nu blevet en domstol hævet over menneskerettighederne?

https://menneskeret.dk/monitorering/internationale-rapporter/fns-konvent...
Artikel 40 stk. 2:

(b) ethvert barn, der mistænkes eller anklages for at have begået strafbart forhold, har mindst følgende garantier:
(i) at blive anset for uskyldig, indtil skyld er bevist i henhold til loven;
(...)
stk.3
(a) fastlæggelse af en minimumsalder, under hvilken børn anses ikke at være istand til at begå strafbart forhold,

Prøv at spørg Københavns politi om de havde gode erfaringer med at overrule grundloven og menneskerettighederne i Tibet-sagen.

Mikkel Jensen

Selvfølgelig er det ikke ok, at han misbruger sikkerhedshullet, men han er 13 år. Børn på 13 år vil altid gøre dumme ting. Det er en del af at være ung og lære at gebærde sig i livet. Andre 13 årige kommer op at slås, eller "låner" en cykel. Alt sammen er forkert og endda strafbart hvis en voksen gør det, men når man har med børn at gøre vil det mest naturlige være, at tage en alvorssnak med dem.

Drengen havde tydeligvis gode intentioner siden han rapporterede hullet til myndighederne i første omgang, så at give ham skylden for at Bergen får lidt dårlig publicity synes jeg er helt i skoven og et udtryk for ansvarsforflygtigelse fra myndighederne i Bergen.

Henrik Eriksen

Så det er ok at han misbruger adgangen til at sende en email rundt samt at downloade data?

Ja, jeg tror faktisk også at det er dét han er blevet anklaget for.
Selve hackingen og at han forsøgte at gøre opmærksom på problemet er rosværdigt, men han skulle have rykket rette instanser i stedet for at misbruge sin opdagelse.

Hvis man opdager at naboen har ladet sine nøgler hænge i låsen til hoveddøren, så må man stadig ikke gå ind og tage hans ting.

Jan Heisterberg

Artiklen omtaler sagen om Selandia-skolen.....

Men hvordan er egentlig retsstillingen i Danmark ?
- er en whistle-blower rimeligt sikret eller ender han med .....

Som sagen i Norge er beskrevet, så har drengen 1) lavet en anmeldelse (og vi skal lade enhver tvivl komme ham til gode), og 2) han har 6 måneder senere RÅBT højt ved at sende en e-mail.

Hvis han istedet havde lavet et eller andet destruktivt eller krænkende, så var sagen en anden. Men at RÅBE højt burde ikke udløse straf.

Har vi grund til at føle os hellige eller ......

Jørgen L. Sørensen

Hvis han istedet havde lavet et eller andet destruktivt eller krænkende, så var sagen en anden. Men at RÅBE højt burde ikke udløse straf.

Ifølge artiklen har han "angiveligt også downloadet og gemt brugernavne og adgangskode.".

Hvis han har hentet nogle data og gemt dem på sin computer er det ikke så godt --- men hvis han ikke har givet disse data videre, burde en kammeratlig samtale og sikkerhed for at han har slette disse data igen vel kunne sone hans "forbrydelse".

Kjeld Flarup Christensen

Det store problem her er manglende reaktion fra de som hullerne meldes til.
OK, mailen var tilsyneladende ikke kommet frem, men hvis det er kutumen at den slags ignoreres, hvad gør man så når man stadigt finder hullet et halvt år efter.

Alle kommuner, skoler, virksomheder etc. bør på deres hjemmeside have en rapporteringsformular, så 13 årige kan fortælle hvad de har fundet.
Og der skal kvitteres af et levende menneske på disse.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize