[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring

To: listan@xxxxxxxxxxxxx
Subject: Re: [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring
From: Anders <anders@xxxxxxx>
Date: Mon, 23 Mar 2015 14:47:57 +0100
In-reply-to: <20150319090624.GB6684@galileo.millnert.se>
References: <20150319090624.GB6684@galileo.millnert.se>
User-agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Icedove/31.5.0

Kommunens svar:

http://www.umea.se/umeakommun/kommunochpolitik/arkiv/artiklarkommun/kommentarerochsvaromfalletmeddataintrangochskadestand.5.65771eb14bfe25fed210151.html

Ganska tydligt att det rör sig om en värdelöst hanterad
incidenthantering i kombination med ren repression för att sända ett
budskap.

Jag är (som medlem) helt för ett uttalande av DFRI till stöd för den
här unga hackern.

// A

On 03/19/2015 10:06 AM, Martin Millnert wrote:
> Hej,
> 
> en 17-åring har stämts av Umeå kommun för dataintrång.
> 
> http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak=oyPCjLSBSV79P8cHlUKDET%2BLgsbrA%2F2dS%2Fy3pkgu2VflI%2BPR3w%2F8kyBe6emexg%3D%3D
>
>  TL;DR: En 17-åring hittade stora säkerhetsbrister i Umeå kommuns
> skol-IT-miljö, bl.a. att användarnamn och lösenord låg sparat på
> alla klientmaskiner, åtkomligt för vem som helst. Efter att ha ha
> påtalat detta för kommunen utan någon som helst reaktion, gjorde
> 17-åringen en proof-of-concept med sårbarheten; loggade in och 
> överlastade några servrar i 10 minuter.
> 
> Som tack för det hela stämmer Umeå kommun 17-åringen för alla
> kostnader relaterade till ärendet, inklusive kostnader att ta fram
> bevismaterial till polisen.   Cirka 500 000 kr för att bl.a. byta
> lösenord för ~600 användare.
> 
> 
> Det jag undrar är om offentlighetssverige verkligen vill gå denna
> vägen i extremt klara fall av whitehats som detta? Det verkar ju i
> såfall enbart i dessa två riktningar: * Det verkar till fördröjd
> upptäckt av felaktigheter, * Det verkar också mot "rapportering
> inom korrekta kanaler", och för rapportering via
> whistleblower-liknanade kanaler, d.v.s. anonymt och till stor
> publik.
> 
> Och till sist -- är det rimligt att användare skall hållas 
> kostnadsansvariga för IT-systemägarens kompetensbrister?
> 
> DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i 
> rättegången?
> 
> Vänligen, Martin
> 

--
DFRI-listan Ã¤r Ã¶ppen fÃ¶r alla.
Listan arkiveras och publiceras Ã¶ppet pÃ¥ internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan

Follow-Ups:
- Re: [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring
  - From: Linus Nordberg
- [DFRI-listan] Re: [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring
  - From: Christoffer Holmstedt

References:
- [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring
  - From: Martin Millnert

Prev by Date: [DFRI-listan] Turkish Government Approves "Censorship Bill 3.0"
Next by Date: [DFRI-listan] Re: [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring
Previous by thread: [DFRI-listan] Re: [DFRI-listan] Re: [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring
Next by thread: [DFRI-listan] Re: [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring
Index(es):
- Date
- Thread