[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[DFRI-listan] Dataintrång: Umeå kommun vs 17-åring



Hej,

en 17-åring har stämts av Umeå kommun för dataintrång.

http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak=oyPCjLSBSV79P8cHlUKDET%2BLgsbrA%2F2dS%2Fy3pkgu2VflI%2BPR3w%2F8kyBe6emexg%3D%3D

TL;DR:
En 17-åring hittade stora säkerhetsbrister i Umeå kommuns skol-IT-miljö,
bl.a. att användarnamn och lösenord låg sparat på alla klientmaskiner,
åtkomligt för vem som helst.
Efter att ha ha påtalat detta för kommunen utan någon som helst reaktion,
gjorde 17-åringen en proof-of-concept med sårbarheten; loggade in och
överlastade några servrar i 10 minuter.

Som tack för det hela stämmer Umeå kommun 17-åringen för alla kostnader
relaterade till ärendet, inklusive kostnader att ta fram bevismaterial
till polisen.   Cirka 500 000 kr för att bl.a. byta lösenord för ~600
användare.


Det jag undrar är om offentlighetssverige verkligen vill gå denna vägen
i extremt klara fall av whitehats som detta?
Det verkar ju i såfall enbart i dessa två riktningar:
  * Det verkar till fördröjd upptäckt av felaktigheter,
  * Det verkar också mot "rapportering inom korrekta kanaler", och för
    rapportering via whistleblower-liknanade kanaler, d.v.s. anonymt och
    till stor publik.

Och till sist -- är det rimligt att användare skall hållas
kostnadsansvariga för IT-systemägarens kompetensbrister?

DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i
rättegången?

Vänligen,
Martin

Attachment: signature.asc
Description: Digital signature