mboost-dp1

SXC - daniel447

Anklaget CPR-hacker fortryder intet

- Via dr.dk -

I sommer fandt Esben Warming et sikkerhedshul i systemet Digital Pladsanvisning udviklet af KMD, der har gjort CPR-numre offentligt tilgængelige i 12 år. Fejlen blev lukket, men efterfulgt af en lang kamp og en politianklage for CPR-tyveri af KMD. Alligevel ville han gøre det igen, hvis han i fremtiden finder lignende sikkerhedshuller.

Systemet bruges i 87 kommuner, og Warming fortalte dengang Frederiksberg Kommune om fejlen.

Frederiksberg Kommune tog ikke fejlen seriøst. I stedet gik Esben Warming til pressen for at gøre opmærksom på problemet. Derfor anklagede KMD ham for CPR-tyveri.

Han fandt fejlen i kommunens pladsanvisningssystem, da han skulle finde en børnehaveplads til sin søn. Her opdagede han et samleverfelt, hvor han skulle udfylde sin hustrus CPR-nummer, men det viste sig, at feltet fungerede som en slags søgemaskine over CPR-numre, hvor han kunne slå hvem som helst op.

Warming oprettede en kode til at hive CPR-numre ud af systemet, for at se om systemet ville stoppe ham, hvilket det ikke gjorde.

Koden viste han til Danmarks Radio, hvilket fik KMD til at anklage ham for at hacke deres system og senere for at uberettiget skaffe sig adgang til borgeres CPR-nummer.

Han fortryder ikke at have gjort opmærksom på fejlen, men han er ked af, at opmærksomheden dengang blev drejet over på hans person i stedet for det 12 år gamle sikkerhedshul.

 





Gå til bund
Gravatar #1 - ToFFo
2. jan. 2018 09:48
Jamen det er jo ikke hacking ffs... KMD skulle i stedet sende ham en gave som tak!

Hvis han får en bøde, så opretter jeg fandme en kickstarter eller gofundme kampagne så han forhåbentlig kan få dækket det. Det er noget svineri og sender et klart signal til andre "whitehats" om at man skal holde kæft med den slags.

Ved godt ordet Whitehats måske ikke er det rigtige term at bruge her, da der som sådan ikke er tale om hacking. Men det var det bedste jeg kunne komme på.
Gravatar #2 - CBM
2. jan. 2018 09:51
#1: enig men at ændre en URL er åbenbart blevet til hacking
Gravatar #3 - gramps2
2. jan. 2018 09:56
#1
Det er netop whitehat-metoden han har gjort brug af.

#2
Netop URL-ændringer er ikke hacking: https://www.version2.dk/artikel/lovraad-slaar-fast...
Gravatar #4 - ToFFo
2. jan. 2018 09:57
#3 - Alright takker, jeg var bare i tvivl om man kunne bruge det ord, når der ikke er tale om hacking :P
Gravatar #5 - CBM
2. jan. 2018 10:18
#3: det er da altid noget. Men så er han vel heller ikke 'anklaget CPR hacker'? Men nærmere en tidligere anklaget i CPR sagen?

Hvis det ikke er hacking at ændre en url så er det heller ikke hacking at indtaste et andet cpr nummer
Gravatar #6 - Da9L
2. jan. 2018 10:31
Det er satme da noget skræmmende at KMD kalder dette for hacking. Det underbygger jo netop problemet i at de ikke aner hvad de laver
Gravatar #7 - gramps2
2. jan. 2018 12:21
#5
Han har nemlig ikke ændret URL. Han har lavet et script i Javascript, som han så har brugt til at automatisere CPR-nummer-indtastning i formen. Idet han lavede et script har han bevæget sig ind i en gråzone. Straffeloven skelner mellem "berettiget" og "uberettiget" adgang, hvor uberettiget adgang er hacking. Spørgsmålet er så, om Esben Warming var berettiget eller ej i sin adgang.

Så vidt jeg har forstået, så er han stadig sigtet af politiet, men hvad status nøjagtigt er, ved jeg ikke.
Gravatar #8 - ToFFo
2. jan. 2018 13:14
#7 - Men det han lavede var vel bare for at spare tid. En programmerings-ignorant som mig, som ikke har programmeringserfaring, ville blot sidde og indtaste hver enkelt nummer manuelt, og se om der var bid.

Hvis han ikke havde sagt han brugte et script, men blot sagde at han havde siddet i timevis og tastet det hele manuelt, ville han så kunne slippe for anklagen?
Gravatar #9 - gramps2
3. jan. 2018 09:38
#8
Han har, så vidt jeg husker, fundet et godt stykke over 200 personnumre. Er det berettiget for at kunne finde fejlen? Eller er det uberettiget? Det er en interessant diskussion, som jeg ikke lige har et klart svar på.
Gravatar #10 - CBM
3. jan. 2018 13:00
#8 & #9 : hvis han har fundet mere information end hvad der var nødvendigt for at konstatere fejlen... kan man vel sige at han har misbrugt fejlen...

jeg håber ikke det er fordi han har lavet en gang JS for at automatisere at han er anklaget... men måske mere fordi han har snaget mere end nødvendigt...

jeg vil dog stadig sige at titlen som "hacker" er malplaceret.
Gravatar #11 - gramps2
4. jan. 2018 08:03
#10
Argumentet for at finde 168 CPR-numre er netop, at han ville se, om han stødte på en grænse (total antal-grænse eller antal per tid-grænse). Det kan nemt argumenteres at man så er nødt til at gennemføre et vist antal forsøg. Om det er for mange ved jeg ikke. Selve anklagen går dog på, at han har automatiseret søgningen:

KMD på Facebook 20. juni skrev:
Han trækker flere persondata ud end nødvendigt for at påvise hullet. Helt præcis 168 danskeres navne og CPR-numre. Og han søger efter konkrete navne. Det havde været nok at demonstrere fejlen ved simple manuelle opslag – i stedet for i programkoden at indsætte en række forprogrammerede scripts, der fremskaffer adgang til en større mængde CPR-numre og navne. Dette er efter vores vurdering ikke acceptabelt.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login