Hej,
en 17-åring har stämts av Umeå kommun för dataintrång.
http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak=oyPCjLSBSV79P8cHlUKDET%2BLgsbrA%2F2dS%2Fy3pkgu2VflI%2BPR3w%2F8kyBe6emexg%3D%3D
TL;DR:
En 17-åring hittade stora säkerhetsbrister i Umeå kommuns skol-IT-miljö,
bl.a. att användarnamn och lösenord låg sparat på alla klientmaskiner,
åtkomligt för vem som helst.
Efter att ha ha påtalat detta för kommunen utan någon som helst reaktion,
gjorde 17-åringen en proof-of-concept med sårbarheten; loggade in och
överlastade några servrar i 10 minuter.
Som tack för det hela stämmer Umeå kommun 17-åringen för alla kostnader
relaterade till ärendet, inklusive kostnader att ta fram bevismaterial
till polisen. Cirka 500 000 kr för att bl.a. byta lösenord för ~600
användare.
Det jag undrar är om offentlighetssverige verkligen vill gå denna vägen
i extremt klara fall av whitehats som detta?
Det verkar ju i såfall enbart i dessa två riktningar:
* Det verkar till fördröjd upptäckt av felaktigheter,
* Det verkar också mot "rapportering inom korrekta kanaler", och för
rapportering via whistleblower-liknanade kanaler, d.v.s. anonymt och
till stor publik.
Och till sist -- är det rimligt att användare skall hållas
kostnadsansvariga för IT-systemägarens kompetensbrister?
DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i
rättegången?
Vänligen,
Martin
Attachment:
signature.asc
Description: Digital signature