[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring
Kommunens svar:
http://www.umea.se/umeakommun/kommunochpolitik/arkiv/artiklarkommun/kommentarerochsvaromfalletmeddataintrangochskadestand.5.65771eb14bfe25fed210151.html
Ganska tydligt att det rör sig om en värdelöst hanterad
incidenthantering i kombination med ren repression för att sända ett
budskap.
Jag är (som medlem) helt för ett uttalande av DFRI till stöd för den
här unga hackern.
// A
On 03/19/2015 10:06 AM, Martin Millnert wrote:
> Hej,
>
> en 17-åring har stämts av Umeå kommun för dataintrång.
>
> http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak=oyPCjLSBSV79P8cHlUKDET%2BLgsbrA%2F2dS%2Fy3pkgu2VflI%2BPR3w%2F8kyBe6emexg%3D%3D
>
> TL;DR: En 17-åring hittade stora säkerhetsbrister i Umeå kommuns
> skol-IT-miljö, bl.a. att användarnamn och lösenord låg sparat på
> alla klientmaskiner, åtkomligt för vem som helst. Efter att ha ha
> påtalat detta för kommunen utan någon som helst reaktion, gjorde
> 17-åringen en proof-of-concept med sårbarheten; loggade in och
> överlastade några servrar i 10 minuter.
>
> Som tack för det hela stämmer Umeå kommun 17-åringen för alla
> kostnader relaterade till ärendet, inklusive kostnader att ta fram
> bevismaterial till polisen. Cirka 500 000 kr för att bl.a. byta
> lösenord för ~600 användare.
>
>
> Det jag undrar är om offentlighetssverige verkligen vill gå denna
> vägen i extremt klara fall av whitehats som detta? Det verkar ju i
> såfall enbart i dessa två riktningar: * Det verkar till fördröjd
> upptäckt av felaktigheter, * Det verkar också mot "rapportering
> inom korrekta kanaler", och för rapportering via
> whistleblower-liknanade kanaler, d.v.s. anonymt och till stor
> publik.
>
> Och till sist -- är det rimligt att användare skall hållas
> kostnadsansvariga för IT-systemägarens kompetensbrister?
>
> DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i
> rättegången?
>
> Vänligen, Martin
>
--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan