Politianmeldt af KMD for hacking: »Jeg er totalt uskyldig«

Paw Madsen:

Nu har jeg selv adgang til CPR-broker via mit arbejde som databehandler i regionerne, og man giver ikke "danmark" adgangen videre, uden at tage reb og skammel med på arbejde først.

"Det ville der sikkert være gode overskrifter i:

KMD belønner hacker med CPR-misbrug på samvittigheden KMD bestikker konkurrenters medarbejdere med vin og private breve KMD nægter at anmelde sag mod formodet hacker, der dokumenterer sine gerninger på video Medieverdens catch-22 ;)"

Hvis man da er sunket så lavt som at arbejde for extra bladet.

En anden fed måde KMD kunne have lavet overskrifter på er: KMD belønner privat-person for at finde et 12 år gammel CPR-hul.

Nu har jeg selv adgang til CPR-broker via mit arbejde som databehandler i regionerne, og man giver ikke "danmark" adgangen videre, uden at tage reb og skammel med på arbejde først.

Se det er rigtigt og det syntes jeg man skal have på plads, inden man spekulerer i hvad manden måske gjorde eller ikke gjorde.

Hvis det, du skriver, var tilfældet, ville han vel ikke have sendt videoen til DR, før han havde modtaget svar fra Frederiksberg Kommune/KMD?

Det ville være rart, hvis journalisten lige ville opklare det præcise tidsforløb.

Jeg er sådan set enig, Gert Madsen. Men jeg troede faktisk. at der altid skulle indsendes databehandleraftale til Datatilsynet - men det er måske kun hvis de selv beder om de i særlige tilfælde?

At trække folks personlige oplysninger (navne og CPR) ud af systemet og sende det gennem venner og familie og rundt til diverse mediehuse for at skabe overskrifter må siges at være en (i bedste fald) kontroversiel måde at få offentlighedens opmærksomhed på.

hvorefter man mener, at man ikke selv har noget ansvar mere.

Det er jo kommunen, som laver aftalen med en leverandør, ikke Datatilsynet. Som næppe heller vil kunne påtage sig at godkende alle kontrakter som offentlige myndigheder måtte indgå.

Jeg vil da også mene, at dem som kræver data om os, skal have hånden permanent på kogepladen. Det skal man ikke kunne skrive sig ud af.

Der er fuld opbakning til Esben Warming Pedersen, selv om vi også er en slags konkurrenter. Nu må Datatilsynet af egen drift træde ind i sagen og udbede sig dokumentation fra KMD på hvem hvad og hvor meget - og så give et bud på en bøde for lemfældig omgang med person-data.

Ja, tidslinjen er i følge artiklen uklar (video til DR 18/6 eller efter hjemkomst fra ferie?) - men det fremgår trods alt, at han først går til DR, efter at KMD har afvist, at der er tale om en fejl.

Hvor tålmodig man så skal være i den situation - tja... man bliver vel ikke hacker af at have en (muligvis) kort lunte overfor den slags. Og da slet ikke, når firmaet, som her, har givet udtryk for ikke at tage det alvorligt? Der er jo trods alt tale om et hul, som stadig står piv-åbent og kan udnyttes. Så der vel god grund til ikke at have alt for lang tålmodighed - set fra borgernes (og ikke KMD's) synsvinkel?

... det er kommunernes ansvar...https://www.dr.dk/nyheder/penge/datatilsynet-efter-cpr-hul-ansvaret-ligger-hos-kommunerne

Men skal Datatilsynet ikke netop godkende disse kontrakter og databehandleraftaler?

Tak for svar, Poul Henning Kamp:

Ideen er vist nok at det skal dataejer pålægge databehandlerne rent kontraktuelt.

Så skulle kommunen jo i dette tilfælde have opfyldt sin forpligtelse, hvis man har skrevet i kontrakten, at systemet skal opfylde persondatalovens krav. Mon ikke de har gjort det?

Jeg er ikke tryg ved, hvis man kan unddrage sig forpligtelse til at kontrollere, om kontraktbestemmelserne overholdes, blot man har skrevet i kontrakten, at databehandler skal handle lovligt. Der må være en pligt til både at skrive en ordentlig kontrakt og kontrollere, at den overholdes.

Eller mener du, at det i kontrakten skal aftales, at databehandler har ansvar - ikke bare, at de skal gøre tingene ordentligt? Hvad så, hvis dataejer ikke har skrevet det i kontrakten - kan databehandler så skalte og valte uden konsekvenser ift. div. lovgivning om persondata?

Men skal Datatilsynet ikke netop godkende disse kontrakter og databehandleraftaler?

Jeg giver op nu... jeg bliver rundtosset..

Du har sikkert, Gert. Jeg har det bare svært med, hvis databehandlere slet ikke skulle have noget ansvar

Ideen er vist nok at det skal dataejer pålægge databehandlerne rent kontraktuelt.

Du har sikkert, Gert. Jeg har det bare svært med, hvis databehandlere slet ikke skulle have noget ansvar - det lyder for mig ikke særligt sikkert, hvis de til hver en tid kan skyde ansvaret over på dataansvarlige.

Jeg er vred over KMD's håndtering af dette - men juridisk er det muligt, at den bedste løsning er at holde kommunen ansvarlig.

Men er der ikke lovkrav om, at alle der håndterer følsomme data, selv har ansvaret for at gøre det forsvarligt? Det gælder vel så også databehandlere - hvorfor skulle de ellers gøre sig umage på det punkt?

Findes der en dansk pendant til Common Vulnerabilities and Exposures? Det burde være muligt for sikkerhedsforskere (professionelle såvel som fritids) at anmelde problemer sikkert og uden - i første omgang - offentliggørelse, og efterfølgende få credit for deres opdagelse. Esben Warming Pedersen og Nikolaj Hansen burde kunne skrive et CVEDK-nummer på deres CV. Som det er i øjeblikket virker det som om det er journalister der skal virke som den uafhængige part.

Men kommunen har vel ikke vidst det i 12 år

Jeg er fuldstændig enig i at KMD har lavet noget .... Men er det Datatilsynets opgave at holde øje med leverandørerne ? Skal de ikke først og fremmest holde øje med at dataejerne opfører sig ordentligt ?

Personligt er jeg ikke meget for delt ansvar. Jeg synes al erfaring taler imod det.

Gert Madsen:

Men kommunen har vel ikke vidst det i 12 år? I så fald er det meget "kriminelt". Jeg mener ikke, at kommunen er ansvarsfri - men jeg har svært ved at se, at KMD er det. De bliver advaret, siger, at det ikke er en fejl, og retter den først, da der kommer medier på (så vidt jeg har forstået). Det kan I mine øjne ikke være ansvarsfrit - med mindre det er kommunen, der har bedt dem om at handle på den måde.

For mig at se må der være forsømt ansvar nok til begge.

Men har kommunen ikke gjort nok for at følge op i denne sag

Det ser ikke pænt ud at KMD har lavet den pågældende funktion, men det er kommunens opgave at sikre at KMD's system lever op til kravene. Jeg synes egentlig at det er OK at holde fast i, at kommunen har et ansvar, som ikke bare kan tørres af på en leverandør. Det er vejen frem, hvis vi skal gøre op med, at datasikkerhed er noget, som bare kan spares væk.

Gert Madsen:

Ja bestemt - det er et godt princip. Men har kommunen ikke gjort nok for at følge op i denne sag? Måske er det et spørgsmål om, at de ikke i tilstrækkelig grad har fulgt op og tjekket, om det var i orden efter KMD's besked?

Og har KMD ikke også et stort ansvar? Det er der, jeg undrer mig - at det i Datatilsynets øjne ser ud til at være enten kommunen eller KMD. Kunne det ikke være begge - da KMD jo for mig at se er mere skyldige i forsømmelse (med mindre der er noget, vi ikke ved om, hvad der er foregået mellem KMD og kommunen).

Jeg har ikke abonnement, men lige umiddelbart har jeg svært ved at forstå, at kommunen kunne have gjort andet end at kontakte KMD om sagen?

Hej Nicolaj Hansen

Du må meget gerne skrive til mig på oxe@dr.dk eller ringe 28544636. MVH Ole

Jeg forstår ikke at Esben kan politianmeldes for at udnytte et hul som KMD selv påstår ikke findes... At KMD kontakter hans arbejdsgiver er under bæltestedet og udelukkende afpresning. At han scripter det er IMHO nødvendigt for at dokumentere omfanget af hullet. Altså at der ingen form for limit er på antal kald, ingen throttles eller noget.

Han kontakter databehandleren med det samme. Ligeledes den dataansvarlige, der benægter fejlens eksistens. Det er jo klokkeklart, at han ikke har ondsindede hensigter.

KMD burde politianmeldes for lemfældig omgang med vores personfølsomme oplysninger. Om ca. 1 år når den nye Persondataforordning træder i kraft, vil KMD kunne idømmes op til 100 mio. i bøde for sådan en overtrædelse. Pt. får de max en påtale.

Danmark er slet ikke klar til cyberkrig og sikkerhed generelt...

Hvad skulle Esben Warming Pedersen, Nicolaj Hansen og Henrik Høyer (han blev senere frikendt) have gjort da de opdagede sikkerhedshullet? Politianmeldt KMD /Infoba? Det virker som om KMD helst ville have, at dem der opdager et hul, slet ikke gør noget, men bare lader som ingenting.

Data tilsynet mener, at det er kommunens ansvar:https://itwatch.dk/secure/ITNyt/Brancher/Sikkerhed/article9656313.ece

Jeg har ikke abonnement, men lige umiddelbart har jeg svært ved at forstå, at kommunen kunne have gjort andet end at kontakte KMD om sagen?

At KMD så hævder, at der ikke er nogen fejl - umiddelbart lyder det jo ikke som en svær fejl at konstatere, så det er da foruroligende, hvis KMD ikke er i stand til at finde den.

Men måske skulle kommunen selv have prøvet, om fejlen stadig bestod, på trods af KMD's forsikringer - netop fordi det jo ikke lyder til at være svært at efterprøve.

Gad vide, hvad der er foregået i KMD's hoveder, når man blot hævder, at fejlen ikke eksisterer? En ting er selvfølgelig, at den er let at konstatere - men måske var den svær at fixe?

Gad vide hvilke andre fejl, KMD er blevet varslet om, men har ignoreret?

Det er godt at KMD lukker det hurtigt

Der må jeg så sige at din definition på "hurtigt" nok er noget anderledes end min.

Som jeg læser artiklen brugte KMD en uge på at benægte at der var et problem og så i stilhed at få lukket for hullet.

Tilsyneladende er sagen kun spændende for Version2, når TV2 har bragt artiklen :)

D. 24 Januar 2017 afslører jeg dette for Version2's Magnus Boye :) Han siger så han går videre med sagen til de rette myndigheder. Det var jo heldigt for mig, at han ikke gjorde, for så var jeg jo nok også blevet politianmeldt.

@Version2. Næste gang man bliver enige om, at i går videre med sagen til de rette kilder, så regner jeg med at i faktisk gør det.

Hvis nu persondatafordningen kommer til at virke efter hensigten - og leverandøren bliver straffet.

Så bliver det spændende at se, hvor mange sager KMD m.fl. kan tåle at få på halsen. Straffen er på 4 % af den globale omsætning.

Måske skulle KMD skynde sig at få et bounty-program sat i værk. Det vil nok være sjovere for dem at udbetale kr. 10.000,- kontant pr. funden sårbarhed. 25 sager på et år kunne jo hurtigt få bugt med hele omsætningen. Gad vide hvor få sager der skal til for at ramme overskuddet?

Som jeg læser det, så siger KDM at der ikke er en fejl på deres system efter at Esben har kontakten dem, er det rigtig forstå? For så kan jeg ikke se at de kan gøre noget. Da de har faktisk sagt at det der forgå er efter bogen og ikke en fejl.

Det er ikke en fejl som sådan, det er mere en feature. At man kan slå vilkårlige CPR numre op for at finde "samlever" til udfyldning af en formular.

At man så ikke fra KMD's side har lagt nogen form for "timer" ind, for hvert opslag er uheldigt.

Man kan således lave et program til automatisk at gætte på en persons CPR nummer, hvis man har hans fødselsdag og navn. Grundet modulus 11-metoden der bliver brugt til validering af cpr numer (indtil for nyligt hvor man løb tør for numre). Der er omkring 400 numre der skal løbes igennem for at gætte et cprnummer hvis man benytte m-11 metoden, uden er det 10k.

Hvis de havde indlagt en timer, kunne man lave paralelle forespørgsler, så hvor end man barberer grisen kan man få fat i enhver persons cpr nummer.

Man afviser ikke og man hugger ikke hovedet af budbringeren. At blankt afvise løser ingen problemer.

Problemet at dem der modtog informationen var ansat i management / hr og ikke havde adgang til nogen med teknisk viden overhovedet.

Så man foretager den sædvanlige kneejerk reaktion og anmelder!

At de ringer til Netcompany, handler vel om at det er Netcompany som står som ejer af ip'en som handlingen er udført fra. Enten fra deres kontor, eller via medarbejderbredbånd.

Det burde være kriminelt at benægte et sikkerhedshul, og så ikke få det stoppet/lukket omgående (max 24 timer). Nu forsøger KMD at kriminalisere budbringeren.

Men den bliver farlig når han begynder at finde flere personer og særligt automatisere det. Det er ikke nødvendigt for at bekræfte og rapportere hullet.

Automatiseringen er interessant, da den kan afsløre hvorvidt de rate-limiter opslag. Sikkerhedshullet er i min optik mere alvorligt da der ingen begrænsninger var på antal opslag der kunne udføres.

Havde der været en grænse på f.eks. 5 opslag, inden systemet satte en stopper for det, var det stadig et relativt alvorligt sikkerhedshul, men der havde ikke været nogen risiko for at man kunne arbejde sig igennem hele CPR-registret.

Som jeg læser det, så siger KDM at der ikke er en fejl på deres system efter at Esben har kontakten dem, er det rigtig forstå? For så kan jeg ikke se at de kan gøre noget. Da de har faktisk sagt at det der forgå er efter bogen og ikke en fejl. Det er lidt som en dør hvor på der stå du må ikke åben den, så spørg du ejerne af døren om du må åben døren og det siger han ja til og det gør du så og så bliver du anmeld for ulovlig indtrængning...

Misforstå jeg det?

"Men den bliver farlig når han begynder at finde flere personer og særligt automatisere det. Det er ikke nødvendigt for at bekræfte og rapportere hullet."

Helt enig. Efter at sagen om børnehavehackeren havde lagt sig lidt, var der flere i debatten der bemærkede at nok var det en meget usympatisk og gammeldags måde at reagere på fra leverandøren. Men målrettet at trække bukserne ned på folk der mangler livrem og seler, og udstille det i pressen er måske lidt overdrevent (dumsmart/umodent).

At man så måske burde have et regelsæt eller en ombudsmand, er måske kunne håndtere noget med "Pligtforsømmelse" eller "Groft uagtsomhed" inden for offentlig IT og på den måde kunne anklage en leverandør (offentlig eller privat) for ikke at leve op til sit ansvar, ville måske forskåne flere pinlige tabloid-udstillinger af bl.a. sikkerhedsbrist.

Det ser dog ud til at André Rogazewski ikke mener det skal have konsekvenser for Esben, så om ikke andet kan det vel få ham til at sove lidt trygt om natten :)

Mit råd til alle der oplever noget lignende en anden gang: Man ringer ikke til en leverandør så snart man ser et tal i en URL. Men når man har lavet den mindst mulige bekræftelse af at der er et problem, så stopper man og kontakter leverandøren. Så undgår man gråzoner.

Og KMD havde nok politianmeldt det uanset hvad.

"Så ringer KMD til direktøren for min arbejdsgiver, Netcompany" Hvad fanden bilder de sig ind?

Det er godt nok beskidt. Jeg ville godt nok ikke være stolt over at arbejde for sådan et firma. Føj.

men at de er så lukkede og kvitterer med opkald til arbejdsgiver, deres pressemeddelelser og politianmeldelse, siger mere om dem selv.

Han fatter mistanke til et sikkerhedshul og efterprøve det på et familiemedlem. Der er det helt ok.

Men den bliver farlig når han begynder at finde flere personer og særligt automatisere det. Det er ikke nødvendigt for at bekræfte og rapportere hullet.

Det er godt at KMD lukker det hurtigt, men at de er så lukkede og kvitterer med opkald til arbejdsgiver, deres pressemeddelelser og politianmeldelse, siger mere om dem selv.

Mit råd til alle der oplever noget lignende en anden gang: Man ringer ikke til en leverandør så snart man ser et tal i en URL. Men når man har lavet den mindst mulige bekræftelse af at der er et problem, så stopper man og kontakter leverandøren. Så undgår man gråzoner.

Jeg tror det er det her som har forvirret mig:

"I en opfølgende mail forklarer han, at han allerede på det tidspunkt har sendt videomateriale til DR, som dokumentation på problemet. Det gør Esben Warming Pedersen dagen efter, han har opdaget fejlen, det vil sige 18. maj.

Ifølge Esben Warming Pedersen, så undersøger KMD sagen videre bag linjerne og lukker fejlen i stilhed den 24. maj - uden at informere DR eller Frederiksberg Kommune.

Da Esben Warming Pedersen kommer hjem fra ferie, sender han en video, han har optaget, som viser sårbarheden, til Danmarks Radio. Mediet sender videoen videre til kommunen for at dokumentere, at fejlen findes."

Så tydeligvis "my bad" at jeg ikke har fanget det før at video er afsendt af flere omgange..

Hullet bliver lukket i stilhed 24. maj. Allerede 18. maj kontakter han DR. Hvor er det han skal "stille sig tilfreds"?

Som jeg læser det, så har han den 17. maj fået at vide, at der ikke er noget problem. Altså det som KMD har formidlet til kommunen. Derfor ved han jo ikke, om problemet bliver adresseret, men det er gætværk...

Det er mig der ikke har læst godt nok kan jeg se, jeg forstod det som om at han fremsendte en video af det til DR efter han kom hjem fra ferie, og altså ikke havde kontakt før, derfor fremstod det for mig som om hullet var lukket, men at han fortsatte "kampen"... Det var tydeligvis ikke korrekt..

PoC". 2 at han fremfor at stille sig tilfreds med at hullet er lukket, kontakter DR,

Hullet bliver lukket i stilhed 24. maj. Allerede 18. maj kontakter han DR. Hvor er det han skal "stille sig tilfreds"?

n/a

Jeg kan ikke svare på det strafferetslige område, men synes ikke han forklaring er sammenhængende.. Dels 1 at han scripter noget som udnytter hullet, hvilket vel ikke havde været nødvendigt for at lave hans "PoC". 2 at han fremfor at stille sig tilfreds med at hullet er lukket, kontakter DR, men det er jo ikke kriminelt at gøre... Personligt sætter jeg pris på at han fremhæver sikkehedshuller, men synes måske det kan gøres på en anden måde... Jeg håber det bedste for Esben...

Edit.. Nogen nævnte faderen som fandt et sikkerhedshul i et børnehave system, ved nogen om den sag er bragt til ende, eller om han fortsat er sigtet i sagen?

Straffelovrådet har følgende bemærkning ang. opdatering af straffeloven:

"Det er i den forbindelse Straffelovrådets opfattelse, at hvis en enhed er koblet til internettet på en sådan måde, at enhver ved anvendelse af almindelige programmer til internetkommunikation, eksempelvis en sædvanlig webbrowser, kan tilgå oplysninger på enheden, bør sådan tilgang som et klart udgangspunkt ikke anses for uberettiget adgang til en andens oplysninger. [...] I forlængelse heraf kan den adgang, man skaffer sig til en sådan enhed med henblik på at tilgå sådanne oplysninger, ikke anses som uberettiget adgang til et datasystem. Der sigtes her alene til adgang med henblik på læsning af oplysninger", https://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2017/bet1563.pdf

Men det er ikke lov endnu. Straffeloven §263, stk. 2 finder anvendelse her. Spørgsmålet er så, om Esben Pedersen var berettiget eller uberettiget i sin adgang. Som Morten Toudahl siger, så peger tidligere domme på, at det ikke er uberettiget adgang hvis man ikke gør det for egen vindings skyld.

Full disclosure: Jeg arbejder selv ved Netcompany.

Han burde have stoppet, da han havde prøvet med søsterens CPR.

Denne sag viser netop gråzonen ved at lave en regel, som siger at det er lovligt at dokumentere et sikkerhedshul.

Blev det ikke lige slået fast da ovenstående blev frikendt at alt hvad der kan være tilgås må tilgås?

vel at politianmelde DR og Version2 som medskyldige (og syv-otte andre web-sites).

Når man modtager en PoC, der viser at man har et hul, der er så åbenlyst, så bukker man, takker man for hintet, retter fejlen og sender en flaske. Man afviser ikke og man hugger ikke hovedet af budbringeren. At blankt afvise løser ingen problemer.

Pas på ! Firma'er som er på vej ned vil altid forsøge at rive uskyldige med sig i graven. Jeg håber for Danmark at KMD snart bliver opløst helt. Jeg har virkelig ondt af de få sidste kompetente personer som stadig arbejder der inde. KMD skulle har sendt et takkebrev og en flaske vin til manden. Og sendt en stor "Undskyld Danmark, vi er inkompetente." pressemeddelelse ud.

Han har vel udnyttet et sikkerhedshul, hvad enten han har gjort det som et proof of concept eller ej, men om det er "hacking" ved jeg nok ikke nok om straffeloven til at sige noget om