KMD



Digital Pladsanvisning gav adgang til andres lønsedler og kommunikation

, indsendt af _tweak

I juni kom det frem, at KMD’s system ‘Digital Pladsanvisning’, der bruges af 80 kommuner, gav mulighed for at se andres CPR-numre. Dette havde angiveligt været muligt i 12 år.

Nu viser det sig, at KMD i april rettede en anden alvorlig fejl, der gav brugere adgang til andre borgeres lønsedler, kommunikation med det offentlige samt andre personlige oplysninger.

En aktindsigt viser, at Digitaliseringsstyrelsen blev gjort opmærksom på fejlen den 21. april, og herefter gik det hurtigt med først at lukke ned for adgangen til Digital Pladsanvisning og derefter rette fejlen.

KMD’s kommunikationscef Christoffer Hellmann forklarer sikkerhedshullet således overfor Finans.dk:

‘En ny funktionalitet i it-systemet gav borgere, der havde modtaget agterskrivelser, mulighed for at gøre indsigelse digitalt via Digital Pladsanvisning og uploade dokumentation til deres indsigelse. En fejl i systemet betød, at nye brugere af systemet, når de via NemID loggede på løsningen, kunne se uploadet dokumentation for andre borgere i deres kommune.’

Han understreger, at borgere stadig kan være trygge ved at lægge fortrolige dokumenter ud i offentlige it-systemer udviklet af KMD.





Gå til bund
Gravatar

#1 CBM 6. jul. 2017 09:28

Kun 12 år? Nå pyt! Folk skulle jo alligevel *HOST* "hacke"? for at se de data!

"En ny funktionalitet i it-systemet gav borgere, der havde modtaget agterskrivelser,..."

mja.. 12 år... det er jo som bekendt ingen tid indenfor IT verdenen, så ja, der er helt klart tale om spritny funktionalitet, derudover... its not a bug, its a feature :-) *host*

Det er natuligvis for at KMD kan fange HACKERE! HONEYPOT! :-)

Alle ved at det kun er meget meget hardcore og professionelle BLACKHATS som kan finde ud af at ændre en URL!

Måske kunne KMD bare løse problemet ved at have en telefon svarer...

"tryk 1 for at fejlmelde ellers vent..." <- naturligvis skulle der ikke ske noget ved at vente, kun når man trykker på "1" :
"har du oplevet at kunne se andres fortrolige informationer er der ikke tale om en fejl, derimod er der tale om at du er en hacker! Dit telefon nummer er nu videregivet til NSA, CIA, Justitsministeren, Dronning Magrethe, FBI, Interpol, PET, Politiet i Slagelse, din svigermor, din arbejdsgiver OG din lokale købmand! Hav en fortsat god dag!"


"Han understreger, at borgere stadig kan være trygge ved at lægge fortrolige dokumenter ud i offentlige it-systemer udviklet af KMD."

Ja ja.. klart! Nu har i jo jeres hacker fangende telefon svarer! :-)

Obi-Wan:
"This is not the security hole you are looking for! You may safely trust KMD with all your data!"

ROTFLMAO... gad vide hvor mange der er ivrige efter at arbejde ved KMD når man kigger på deres historie bare 10 år tilbage?! Ikke mange er mit gæt! :P
#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet! #BringBackTheKeyboard.
Gravatar

#2 mrtb 6. jul. 2017 10:43

"Han understreger, at borgere stadig kan være trygge ved at lægge fortrolige dokumenter ud i offentlige it-systemer udviklet af KMD."

Aka "Keep calm and carry on".
Gravatar

#3 ToFFo 6. jul. 2017 10:51

Og alligevel scorer de aftale efter aftale. Stinker langt væk af bestikkelse.
Der findes ikke pingviner på nordpolen. Who gives a shit??
Gravatar

#4 IT-ekspert Yvossen 6. jul. 2017 11:11

Er det ikke i sådan et tilfælde at EU ville have smidt en bøde efter en virksomhed for ikke at overholde General Data Protection Regulation?

Burde den danske stat ikke betale 4% af deres globale omsætning til EU nu? :-)
Real cryptography has curves!
Gravatar

#5 gramps2 6. jul. 2017 11:15

Så det var i virkeligheden détte hul, som KMD rettede, som også rettede det hul, som Esben Pedersen fandt? Det kunne jo tyde på en fejlet arkitektur bagved.
Gravatar

#6 CBM 6. jul. 2017 11:21

#3:

Jeg kan nævne så meget, at det er min erfaring at det tilsyneladende er meget svært for almindelige danske software huse at få offentlige kontrakter, uanset produkter, priser, kompetencer osv...

Ofte er det tilsyneladende sådan, at hvis ikke man har et bestemt firmanavn, så får man ikke ordren, på trods af størrelse og selv om man gav et angiveligt bedre tilbud!

Jeg har hørt lignende historier fra indtil flere forskellige virksomheder som jeg har været ansat i.

Så der er et eller andet der TILSYNELADENDE lugter langt væk af fisk.
#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet! #BringBackTheKeyboard.
Gravatar

#7 ToFFo 6. jul. 2017 12:51

#6 - Hvis korruption havde en lugt, ville jeg kalde den Atea :D
Der findes ikke pingviner på nordpolen. Who gives a shit??
Gravatar

#8 arne_v 6. jul. 2017 13:20

IT-ekspert Yvossen (4) skrev:
Er det ikke i sådan et tilfælde at EU ville have smidt en bøde efter en virksomhed for ikke at overholde General Data Protection Regulation?


Jo. Når den træder i kraft.

IT-ekspert Yvossen (4) skrev:
Burde den danske stat ikke betale 4% af deres globale omsætning til EU nu? :-)


Nej. Det offentlige er så vidt jeg ved undtaget.
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#9 CBM 6. jul. 2017 13:22

#7: LOL :-)
#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet! #BringBackTheKeyboard.
Gravatar

#10 arne_v 6. jul. 2017 13:24

gramps2 (5) skrev:
Så det var i virkeligheden détte hul, som KMD rettede, som også rettede det hul, som Esben Pedersen fandt? Det kunne jo tyde på en fejlet arkitektur bagved.


Det er forholdsvis sjældent at sikkerhedshuller skyldes arkitekturen. Det er langt mere normalt at det er implementering der er årsag.
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#11 Lares 6. jul. 2017 13:31

Frem med høtyvene!
Gravatar

#12 arne_v 6. jul. 2017 19:50

#6 & #7

Dårlig kvalitet kan gå et stykke tid, men på et tidspunkt begynder det at påvirke salget. KMD har mistet en del forretning på det sidste.

Med hensyn til bestikkelse så er det en ret farlig vej.

https://newz.dk/ny-ejer-3a-it-lukker-meget-snart

The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#13 gramps2 7. jul. 2017 07:05

#10
Jeg er bare forundret over at én fejlrettelse har rettet to fejl.
Gravatar

#14 CBM 7. jul. 2017 10:14

@arne: og alligevel får de nye kæmpe ordrer, på trods af måske 20+ års konsekvente? grove svigt ? :-)

en anden interessant tanke, hvor mange offentlige kunder ville atea have haft hvis de havde holdt sig til lovens bogstav? :-)

hvor meget ville de have tjent med og uden lovbrud? har de stadig overskud når skader på omdømme, bøder osv trækkes fra (mon ikke de har?) ? :-)
#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet! #BringBackTheKeyboard.
Gravatar

#15 arne_v 7. jul. 2017 11:44

#14

Det har taget meget lang tid.

Men klokken er ved at falde i slag.

CSC er kun en skygge af sig selv efter de mange sager.

KMD står til store tab efter en stribe sager.

Accenture er vist ikke så aktive i det markede længerre.

The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#16 arne_v 7. jul. 2017 11:50

#14

De har jo næppe lavet fejlene med vilje.


If debugging is the process of removing bugs, then programming must be the process of putting them in.


:-)

Og det er ikke realistisk er forvente fejlfri kode for så store systemer.

Men det er et interessant spørgsmål.

Hvor meget ville det koste at reducere fejl til 1/10?

Hvor meget ville det koste at reducere fejl til 1/100?

Mit gæt (!!!!) vil være at:
- 1/10 kunne opnåes ved relativt lille ekstra omkostninger ved en mere professionel tilgang til software udvikling
- 1/100 ville øge omkostningerne drastisk
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#17 CBM 7. jul. 2017 11:58

arne_v (15) skrev:
#14

Det har taget meget lang tid.

Men klokken er ved at falde i slag.

CSC er kun en skygge af sig selv efter de mange sager.

KMD står til store tab efter en stribe sager.

Accenture er vist ikke så aktive i det markede længerre.




KMD

Kausing Much Damage

https://en.wikipedia.org/wiki/KMD

:-)

de har haft skandaler ret jævnt siden ihvertfald 2007
http://mydailyspace.dk/2017/05/danmarks-stoerste-i...

og der er sikkert skandaler endnu tidligere :-)

så ja, det har taget meget lang tid må man sige


--


ja de kunne og burde forøge deres QA indsats.... dog er der stadig mange firmaer som halter på det punkt!

jeg syntes også at have læst om at der er blevet sparet meget på både antal QA ansatte og antal udviklere trods et stigende antal projekter af stigende størrelse...

det er klart at med ingen eller symbolsk QA og mindre antal udviklere til en stigende arbejdsbyrde vil betyde mere stress for udviklerne og en eksplosion i antallet af fejl (og kunne måske være en situation hvor antal fejl stiger og stiger),

ligeledes vil en symbolsk QA indsats også drastisk øge antal fejl som når ud i produktion (mon ikke det er mellem 95% og 100% af fejl der pt når produktion?)


https://www.hk.dk/Aktuelt/Nyheder/2014/08/20/Fakta...


Ifølge erhvervsbladet Børsen den 31. juli 2014 ville Eva Berneke ikke afsløre, hvor mange færre medarbejdere KMD i fremtiden skulle have i Danmark. Men i samme artikel fremhæver hun, at ”…mens KMD har over 500 danske udviklere, har konkurrenterne nul.”

Hos konkurrenten NNIT kan Mette Steffensen, Vice President NNIT Solutions, ikke genkende Eva Bernekes billede af KMD som den eneste virksomhed med danske udviklere ansat.
#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet! #BringBackTheKeyboard.
Gravatar

#18 arne_v 7. jul. 2017 12:56

CBM (17) skrev:
Ifølge erhvervsbladet Børsen den 31. juli 2014 ville Eva Berneke ikke afsløre, hvor mange færre medarbejdere KMD i fremtiden skulle have i Danmark. Men i samme artikel fremhæver hun, at ”…mens KMD har over 500 danske udviklere, har konkurrenterne nul.”

Hos konkurrenten NNIT kan Mette Steffensen, Vice President NNIT Solutions, ikke genkende Eva Bernekes billede af KMD som den eneste virksomhed med danske udviklere ansat.


Alle de store danske IT firmaer som har leveret til det offentlige har mig bekendt danske udviklere ansatte.

IBM, Accenture, CSC etc..

Jeg vil anlægge det modsatte synspunkt - de bruger for mange danske ansatte og for få udenlandske ansatte.

Den typiske danske udvikler er som en fisk i vandet med små til mellemstore projekter, en agil projekt stil, tæt samarbejde med kunden, uddelegering af ansvar etc..

Den typiske danske udvikler er som en fisk på land med store til meget store projekter, stram projektstyring, formelle processer etc..
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#19 arne_v 7. jul. 2017 13:34

CBM (17) skrev:
ja de kunne og burde forøge deres QA indsats.... dog er der stadig mange firmaer som halter på det punkt!

jeg syntes også at have læst om at der er blevet sparet meget på både antal QA ansatte og antal udviklere trods et stigende antal projekter af stigende størrelse...


Test er vigtig for kvalitet.

Men kvalitet er langt mere end bare test.

Der skal ansættes folk med erfaring i den type (størrelse, domain, kunde) projekt. Proejkt ledere, arkitekter, tech leads, senior udviklere etc..

Kundens krav skal analyseres, spørgsmål skal stilles i tilfælde af uklarhed, uhensigtsmæssigheder skal påpeges.

Arkitekturen skal være på plads. Og nej - 5 års erfaring som senior udvikler gør ikke en kvalificeret tiil at være arkitekt hverken enterprise, løsnings eller software..

Projektplanen skal være realistisk. Gode projektledere er deres vægt værd i guld. Projektledere uden passende erfaring kan med fordel erstattes af en mønt til at slå plat eller krone med.

Der skal designes for hver iteration. Design af software er ikke en demokratisk disciplin - software arkitekten, tech lead og de aller mest senior udviklere bestemmer. Punktum.

Udvikling. Der skal:
- være god unit test dækning
- bruges code style check tool *og* problemer skal fixes ikke ignoreres
- bruges static code analysis tool *og* problemer skal fixes ikke ignoreres
- laves team code review af alt kritisk kode
- laves eksternt code review af udvalgte stykker kode
- bruges CI/CD for at holde software nogenlunde fungerende
- laves dokumentation, bruges VCS etc.

Og så skal der laves test:
* functional
* performance
* anomaly
* security (pen)



The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#20 CBM 7. jul. 2017 18:06

@arne: er selv forundret over artiklen og er enig med dig. Jeg ville selv nødigt skulle designe en arkitektur til et kæmpe Projekt
#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet! #BringBackTheKeyboard.
Gravatar

#21 Claus Jørgensen 8. jul. 2017 10:45

#19

Traditionelle arkitektroller lader da ellers typisk til at være en del af problem, mere end end del af løsningen.

Vi havde stort set droppet dem fuldstændigt på de sidste par projekter jeg arbejde på, og vi havde en meget høj kvalitet (vi kunne køre zero-bug strategy og stadigvæk udvikle nye features til tiden). Men der er selvfølgelig forskel på at levere en klientløsning til 10+ millioner brugere der skal fungere i real-time på verdensplan, og så at skulle lave en løsning til kommunerne hvor brugerne er i de titusinder, endda i samme land.

Det er faktisk skræmmende hvor små disse projekter er hvis man kigger på faktiske antal brugere. Og nogle gange er det jo helt simpelt indtastning og udtrækssystemer til måske 5000 overlæger som de ikke engang kan udvikle uden fejl, mangler, overtid og budgetoverskridelser.

Og så synes KMD/CSC etc. ikke ligefrem at tiltrække de bedste udviklere mere. Jeg tvivler på at toppen af de danske IT udviklere har KMD som deres drømmejob. Og det må jo også forventes at påvirke kvaliteten i sidste ende.
Gravatar

#22 arne_v 8. jul. 2017 13:08

arne_v (19) skrev:
Arkitekturen skal være på plads. Og nej - 5 års erfaring som senior udvikler gør ikke en kvalificeret tiil at være arkitekt hverken enterprise, løsnings eller software..


Claus Jørgensen (21) skrev:
Traditionelle arkitektroller lader da ellers typisk til at være en del af problem, mere end end del af løsningen.


Det er nok snarere reglen end undtagelsen.

Men ligesom en god arkitektur bidrager til at gøre projektet til en success, så vil en dårlig arkitektur næsten garantere at projektet bliver en katastrofe.

Og mens der for udviklere gælder en normal fordeling 10% gode 80% ok 10% dårlige, så er der en meget skæv fordeling for arkitekter 10% gode 30% ok 60% dårlige.

Claus Jørgensen (21) skrev:
Vi havde stort set droppet dem fuldstændigt på de sidste par projekter jeg arbejde på,


Der findes en meget nem måde at vurdere en arkitektafdelings værdi. Undersøg hvad der sker hvis der er et alvorligt problem - alle udviklerne, testerne, integrations folkene etc. er i panik fordi ingen kan se hvad årsagen til problemet er.

Ledes der panisk efter arkitekter for at få deres hjælp, så er de nok ikke helt dårlige.

Er der ingen som vil spilde deres tid på at involvere arkitekter, så er det nok fordi at de er værdiløse.

:-)

Med hensyn til dine erfaringer, så vil jeg tillade mig at gætte på at alle de store arkitektoniske beslutninger allerede var truffet for de projekter og at selv god arkitekt support ville være mere "nice to have" and "must have", fordi tech lead og senior udviklerne kunne fylde ud indenfor rammerne af tidligere beslutninger.
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#23 arne_v 8. jul. 2017 13:22

Claus Jørgensen (21) skrev:
Det er faktisk skræmmende hvor små disse projekter er hvis man kigger på faktiske antal brugere. Og nogle gange er det jo helt simpelt indtastning og udtrækssystemer til måske 5000 overlæger som de ikke engang kan udvikle uden fejl, mangler, overtid og budgetoverskridelser.


Antal brugere er kun en ud af mange faktorer som bidrager til kompleksitet.

En vigtig faktor for de arkitektoniske overvejelser.

Men nok ret sjældent en vigtig faktor for den samlede kompleksitet.

Den største kilde til kompleksitet er normalt en meget kompliceret forretningslogik som i de værste tilfælde ikke engang er præcist defineret.

Mange af skats IT katastrofer, rejsekortet etc. må falde i den kategori.

Jeg er ikke så overrasket over at det er nemmere at lave Skype til XX millioner brugere med funktionalitet som kan beskrives på relativt få sider end at lave et system til nogle få tusinder ansatte i skat med funbktionalitet som kræver tusindvis af sider at beskrive (*).

*) Jeg kender ikke antal sider i danske skatte love + bekendtgørelser + cirkulærer. Jeg tror slet ikke at man tæller i Danmark. Man tæller i USA og i 2014 passerede man 74000 sider i federal tax code. Yuck.
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#24 arne_v 8. jul. 2017 13:27

Claus Jørgensen (21) skrev:
Og så synes KMD/CSC etc. ikke ligefrem at tiltrække de bedste udviklere mere. Jeg tvivler på at toppen af de danske IT udviklere har KMD som deres drømmejob. Og det må jo også forventes at påvirke kvaliteten i sidste ende.


Absolut.

Kvaliteten af de folk som indgår i projektet er en meget vigtig faktor.

Og man skal gøre sig klart at der er forskel på projekter.

Selvom en person er en god udvikler/tester/arkitekt/projektleder på et 5000 timers projekt så kan vedkommende godt være en dårlig ditto på et 50000 timers projekt.
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#25 gramps2 24. jul. 2017 07:02

arne_v (15) skrev:
CSC er kun en skygge af sig selv efter de mange sager.


CSC eksisterer jo ikke længere, så en skygge af sig selv kan man vel godt kalde dem :-)
Gravatar

#26 arne_v 25. jul. 2017 02:27

#25

De er vel blevet omdøbt til DXC, men ...
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#27 CBM 25. jul. 2017 06:13

gramps2 (25) skrev:
arne_v (15) skrev:
CSC er kun en skygge af sig selv efter de mange sager.


CSC eksisterer jo ikke længere, så en skygge af sig selv kan man vel godt kalde dem :-)

Mon ikke CSC fortsætter med business as usual under det nye navn? Du skal ikke frygte at de ikke kan bidrage til nye skandaler fremover
#ComeToTheDuckSide www.duckduckgo.com, BB Priv because REAL QWERTY is a privilege, ASUS = kvalitet! #BringBackTheKeyboard.
Gravatar

#28 arne_v 25. jul. 2017 12:52

#27

Det vil jeg gætte på.

Der er næppe meget fusion i Danmark. EDS havde mig bekendt ikke noget i Danmark og jeg tror ikke at HP/HPE kan have skaffet meget mens de var ejer.
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login