Far på barsel fandt sikkerhedsbrist i kommunalt it-system, drevet af KMD. Nu er han politianmeldt og bekymret for, om andre, der finder sikkerhedsbrister, bliver skræmt fra at fortælle om dem. IT-ekspert undrer sig over, at KMD ikke selv sikkerhedstestede 12 år gammelt system.
17. maj skal Esben Warming skrive sin søn Eigil op til en vuggestueplads. Da det skete, opdagede han en sikkerhedsbrist i pladsanvisningens system. Fredag 9. juni blev han ringet op af sin chef, der fortalte ham, at han af KMD, det firma, der står bag pladsanvisningens IT-system, vil blivepolitianmeldt for hacking. Det er han rystet over
»Jeg troede, at KMD ville sætte pris på, at borgerne henvender sig, når de finder en sikkerhedsbrist, men i stedet blev jeg politianmeldt. Jeg er virkelig chokeret over, at KMD tager de metoder i brug. Jeg er en privat borger, og de ikke bare politianmelder mig, men ringer til den øverste direktør i mit firma og fortæller, de politianmelder mig. Det er ikke gentleman-metoder, de bruger.«
For når Esben Warming ikke er Eigils far på jagt efter en vuggestueplads, er han ansat i IT-firmaet Netcompany, der blandet andet beskæftiger sig med IT-sikkerhed.
Det har, siger han, egentligt ikke noget med sagen at gøre, men den viden, han har via sit job, gjorde, at han undrede sig, da han i pladsanvisningens system kunne indtaste sin samlevers CPR-nummer, og at hendes navn så dukker op.
»Det her ser underligt ud,« sagde han til sin kæreste:
»Det ligner en CPR-søgemaskine.«
Først troede han, at han måske kun kunne få sin kones navn oplyst, fordi de har et barn sammen, men da de indtastede hans kones søsters CPR-nummer, dukkede hendes navn også op. Det burde det ikke. I Danmark skal man ikke kunne finde andres CPR-numre og navn.
»Alle mine alarmklokker ringede.«
Kunne have gjort det samme med en notesbog
Og så gik han i gang med at teste, om han havde fundet en sikkerhedsbrist. I stedet for manuelt at teste om det var muligt at finde flere numre, benyttede Esben Warming sig af sin tekniske viden og lavede et lille script, der indtastede vilkårlige CPR-numre. Hver gang den ramte en talkombination, der var et dansk CPR-nummer, spyttede den et navn ud. Esben Warming optog en video for at kunne vise, at der var et sikkerhedshul i systemet.
»Jeg kunne have lavet nøjagtig det samme, hvis jeg manuelt havde tastet numre ind og så noteret i min lille sorte notesbog, hver gang jeg fandt et CPR-nummer. Det her gik bare meget hurtigere. Maskinen fandt 5-6 CPR-numre hvert sekund.«
Samme dag ringede han til Frederiksberg Kommunes pladsanvisning for at fortælle om sin opdagelse. Lederen af pladsanvisningen lovede ham at gå videre med sagen. Dagen efter ringede han til DR og fortalte om sikkerhedsbristen.
»Det har offentlighedens interesse, når der i 12 år har været en CPR-søgemaskine. Det er alvorligt, og jeg kunne ikke lade være med at tænke på, om der var andre, der havde fundet samme fejl før mig og som havde lavet noget andet med det. Det anede vi jo ikke.«
Men da han ikke hørte fra Frederiksberg Kommune eller KMD, tænkte han, at henvendelsen havde båret frugt.
»24. maj blev hullet lukket af KMD, der godt nok i en kundemeddelelse senere fortæller, at de ikke har kunne finde den fejl, jeg havde rapporteret, men at de havde fundet en anden fejl og ved at rette den, var den fejl, jeg havde rapporteret, også løst.«
»WHAT?«
Først da DR går videre med sagen og kontakter KMD, sker der mere.
Fredag 9. juni bliver Esben Warming ringet op af sin chef, der har fået besked fra KMD om, at de vil politianmelde en af firmaets medarbejdere for hacking.
»Først tænkte jeg WHAT? Så blev jeg chokeret. Det er da ikke rart for mig og min familie at være politianmeldt. Jeg synes også, det var mærkeligt, at de ringede til direktøren på mit arbejde. Det havde jo ikke noget at gøre med mit job. Jeg fandt fejlen som privatborger, og ja jeg har it-viden, men når det kræver teknisk viden at opdage en sikkerhedsbrist, vil det selvfølgelig være IT-folk, der opdager dem. Jeg synes, det er uheldigt, hvis andre bliver skræmt, så de tænker ’jeg skal ikke fortælle nogen noget, de skal ikke ringe til min chef’ hvis de opdager en sikkerhedsbrist. Det kan jeg godt frygte er resultatet af KMD's skræmmekampagne.«
Han undrer sig også over, at KMD ikke selv meldte noget ud om sikkerhedsbristen, før DR begyndte at researche på sagen.
»De troede vel, at de kunne lukke hullet i stilhed, og de reagerede først overfor mig, da DR tog sagen op.«
Har dit ansættelsesforhold i et konkurrende firma noget med sagen at gøre?
»Nej! Jeg er ikke ude i noget hadekampagne eller hævntogt. Jeg anede slet ikke, at det var KMD, der stod bag systement, da jeg ringede til Frederiksberg Kommune til at begynde med, jeg troede, det var kommunens system. Jeg har henvendt mig som en privat borger, fordi jeg synes, det var bekymrende, og jeg troede, man ville sætte pris på at få det at vide, så fejlen kunne rettes.«
KMD burde selv have fundet fejlen
Det er ekspert i IT-sikkerhed Peter Kruse fra CSIS enig i.
»KMD burde være taknemmelige for at fejlen er blevet opdaget. Om et år, hvor vi får en ny dataforordning, ville det her give en bøde. Hullet har eksisteret i 12 år, og ingen aner, om der er sket udtræk af data i den periode. Det kunne lige så godt være opdaget om et år, og så ville det have haft alvorligere konsekvenser for KMD.«
Peter Kruse understreger, at han ikke kender alle detaljer i sagen, men han undrer sig over, at KMD ikke selv har fundet fejlen.
»Systemet er 12 år gammel, og da det blev lavet, stod man overfor nogle helt andre trusler på nettet. Den gang var hacking et håndværk, hvor hackerne skulle kunne noget. Nu er meget hacking automatiseret, og det kræver en anden type sikkerhed. KMD burde have sikkerhedstestet deres system i løbet af de 12 år og selv fundet fejlen. Når de ikke gjorde det, burde de være glade for at andre har fundet den.«
KMD har overfor Berlingske ikke ønsket at kommentere sagen.
