Konkurrent-ansat politianmeldt efter at have påpeget sikkerhedshul i KMD-system

Illustration: Virrage Images/Bigstock
It-ekspert henvendte sig til Frederiksberg Kommune for at gøre opmærksom på et sikkerhedshul. Senere vendte borgeren tilbage med en video, der viser hvordan svagheden udnyttes.

Et hackingforsøg på KMD-system i Frederiksberg Kommune bunder i et ønske om at gøre kommunen opmærksom på en svaghed.

Ifølge Version2's oplysninger drejer hacker-sagen sig om en it-ekspert, som har fundet en svaghed i KMD's pladsanvisningssystem. Vedkommende henvendte sig til Frederiksberg Kommune for at gøre opmærksom på fejlen, men det var ikke muligt for kommunen at reproducere den pågældende fejl.

Fjorten dage senere vendte borgeren tilbage med en video, optaget af en journalist fra Danmarks Radio, der viser hvordan svagheden udnyttes.

Frederiksberg Kommune henvendte sig derefter til KMD, der valgte at politianmelde borgeren.

Ifølge Danmarks Radios oplysninger drejer det sig om et gammelt hul i KMD’s system. Svagheden har formentlig har givet adgang til navne og cpr-numre i årevis.

»Systemet er 12 år gammelt, og så vidt vi ved, har det været der, siden systemet blev lavet«, siger direktør i KMD Mette Louise Kaagaard til DR.

Fejlen har kunnet benyttes til at finde et navn ud fra et CPR-nummer. Ved at logge ind på Digital Pladsanvisning og sætte et hak under samlever-feltet dukker en CPR-søgemaskine op. Her kan vilkårlige CPR-numre indtastes, hvorefter systemet viser de tilhørende navne.

KMD har nu rettet fejlen, skriver Danmarks Radio.

I et brev til KMD's kommunale kunder, som mediet ITWatch er kommet i besiddelse af, skriver firmaet: »Vi anser de pågældende sikkerhedsbrister som alvorlige og stærkt beklagelige.«

»Det skal bemærkes, at videoen viser, at den pågældende borger er it-professionel og har et ansættelsesforhold hos en anden it-virksomhed i den danske it-branche. KMD valgte fredag d. 9. juni at tage kontakt til virksomheden,« skriver KMD i brevet til kunderne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Lad os antage vi spoler tiden 1-2 år frem. GDPR er implementeret.
Så skal kommunen vel lukke systemet ned indtil fejlen er rettet ? Dvs en anmeldelse lukker systemet for samtlige kommuner.

Så kommer det store spørgsmål, er KMD, som er dem der har sjusket iht GDPR strafansvarlige ? Kommunen er ikke. Og der er også noget med kædeansvar.

Men slipper en privat databehandler, der sjusker med sikkerheden for offentlige kunder, helt fri af GDPR ? Eller kan der køres en sag direkte mod den underleverandør der har sjusket ?

Dette vil vel være den eneste måde hvorpå vi kan få sikkerhed omkring vores data, da offentlige instansers immunitet ikke gør det attraktivt for dem at overholde lovgivningen. Det vil nok også betyde, at mange af de gamle systemer måske skal skrives om og udskiftes, eller at priserne stiger, og kommunerne kommer til at betale indirekte.

  • 13
  • 0
Claus Bobjerg Juul

Jeg tror vi har fat i et problem som domstolene også får svært ved vurdere.

Et par antagelser:
1) KMD er systemejer
2) Kommunen er dataejer

Jeg vil mene at Kommunen som dataejer er dem som Datatilsynet vil forfølge for data har ikke været beskyttet godt nok.
Kommunen har så en opgave med at får KMD til at rette fejlen så databeskyttelsen genoprettes.

Hvis Datatilsynet får lov at give bøder til offentlige instanser, vil Kommunen skulle betale, de kan så måske gøre regres med KMD, men det vil afhænge af kontrakten, hvis kontrakten ikke behandler dette, vil kommunen sikkert skulle bevise at KMD har lavet så mange fejl at det er ansvarspådragende.

Hvis Datatilsynet ikke får lov at give bøder til offentlige instanser, vil jeg mene at sagen lige som dør her, altså at der ingen ting sker, ingen straf til nogen.

  • 2
  • 0
Mads Jakobsen

Jeg håber i hvert fald.

Uden at vide præcist hvilken metode der er brugt til "hacket" så tænker jeg at følgende artikler kunne være relevant:
* https://www.version2.dk/artikel/lovraad-slaar-fast-url-hacking-ikke-hack...
* https://www.version2.dk/artikel/boernehavehackeren-frifundet-landsretten...

Under antagelse af at personen ikke har skaffet sig adgang til at bruge systemet på en ulovlig måde så synes jeg især følgende fra første artikel er interessant omend ikke direkte sammenlignelig:

Så længe du ikke ændrer noget
Straffelovrådet lægger i vurderingen vægt på, at der er adgang til f.eks. en server fra det åbne internet, og at alle potentielt kan få adgang med en almindelig webbrowser.

Den form for adgang bør 'som et klart udgangspunkt ikke anses for uberettiget adgang til en andens oplysninger', skriver rådet, der består af otte advokater, dommere og offentlige chefer.

»I forlængelse heraf kan den adgang, man skaffer sig til en sådan enhed med henblik på at tilgå sådanne oplysninger, ikke anses som uberettiget adgang til et datasystem,« fortsætter rådet i den over 300 sider lange betænkning.

Vurderingen baserer sig på den antagelse, at man blot læser information og ikke hverken ændrer eller sletter data. I så fald er der ifølge rådet tale om en mere alvorlig handling.

  • 8
  • 0
Mads T. Jensen

"Fejlen har kunnet benyttes til at finde et navn ud fra et CPR-nummer. Ved at logge ind på Digital Pladsanvisning og sætte et hak under samlever-feltet dukker en CPR-søgemaskine op. Her kan vilkårlige CPR-numre indtastes, hvorefter systemet viser de tilhørende navne."

altså.. borgeren har klikket på en checkbox, og skrevet et vilkårligt tal ind i et tekstfelt - BUM - politianmeldelse.

  • 13
  • 1
Jakub Nørløv Iwanczuk

Det er helt vildt upassende at artiklen bringer vedkomnes ansættelsesforhold i den her sag. Det handler om en forældrer som tilfældigvis fandt en lille fejl med store konsekvenser og ville gøre en god gerning ved at anmelde det til de rette myndigheder. Myndighederne tog let på det og vedkomne var nød til at kontakte medierne. Det er nærmest typisk for den slags sager efterhånden (hvilket er super beklageligt)

Hvor vedkomne er ansat hen er et forsøg fra KMD på at fjerne opmærksomheden fra dem selv og Version2 ser ud til at hoppe med på vognen.

  • 8
  • 0
Benjamin Bach

Fra DR-artiklen:

-Vi mener ikke, at der er noget forkert i den måde, vi har lavet det på. Der har selvfølgelig været en fejl. Det skulle ikke have været muligt at slå et givet navn på et givet cpr-nummer op. Der burde have været en begrænsning på, men vi mener ikke, der er noget galt i den måde, vi i øvrigt har lavet det på, siger KMD-direktøren.

Oversat: Der er intet galt i alt muligt, som er irrelevant. Præcis det, der er noget galt med, er der noget galt med. Men vi mener ikke, at der er noget galt med de dele, som er sagen uvedkommende.

Spader er spader, men der er altså også andre objekter, som ikke er spader. Dem skal vi også huske, når vi nu render rundt og kalder ting, som er en spade, for en spade.

- All brontosauruses are thin at one end, much MUCH thicker in the middle, and then thin again at the far end. That is the theory that I have and which is mine, and what it is too.

- That's it, is it?

  • 9
  • 0
Peter Christiansen

Han bliver sikkert dømt og får en bøde og noget betinget. Fatter ikke man gider rapporterer de simple api fejl mere efter de sager man har set.

Man får ikke noget ud ad det udover i bedste fald et klap på skuldrene, i normal fald bliver man sagsøgt.

Når firmaerne ikke har noget bug-bounty program, forget it.

P.S. CPR registret er ikke hemmeligt, muligheden for at slå et cpr nummer op kan alle få adgang til
uden problemer, det koster lidt pr. opslag, men hvis man er inklineret, no problem at all at lænse og
eller "gætte" på et cpr nummer og teste det via cpr registret.

Muligheden for at søge på navn, adr etc. og få cpr nummer mv. frem er dog fremdeles til brug af
personer i staten / kommunerne mv.

  • 0
  • 0
Log ind eller Opret konto for at kommentere