[DFRI-listan] Re: [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring

[Christoffer Holmstedt <christoffer.holmstedt@xxxxxxxxx>]

Tänkte precis posta den länken Anders har delat. Vad är det som ska bli sagt?

1) Intrånget. Att gå in på själva intrånget tror jag är en
återvändsgränd, ett intrång är ett intrång och han har erkänt samt
blivit dömd för det redan.

2) Summan. Här har jag ingen kunskap om vad som är rimligt att begära
men som medborgare tycker jag att det är konstigt att en smygfilmning
av sex och publicera på internet ger 74000kr i skadestånd och så fort
det handlar om rent tekniska problem så sticker beloppen iväg i flera
hundratusen eller till och med miljoner. Det är ju skillnad på
skadestånd i brottsmål och civila rättsfall men varför inte begära
skadestånd i första brottsmålet?

3) Incidenthantering. Google har som policy att släppa all information
90 dagar efter man hittar en brist i något system. Detta ger andra
aktörer chans att fixa till sina fel och ge organisationer/individer
tid att patcha. I januari/februari satte Google hårt mot hårt mot
Microsoft i något ärende som slutade i att de släppte lite på tyglarna
och ger dispens med ytterligare 14 dagar ifall ett företag ber snällt
och har en patch under utveckling så totalt 104 dagar. Är det något
sådant som behöver bli allmänt accepterat? Vem som helst skickar
buggrapport till kommun/företag/annan utvecklare (genom officiella
kanaler) och efter 90 dagar får man släppa all information fri om man
vill?

Det var några tankar jag hade.
--
Christoffer Holmstedt


Den 23 mars 2015 14:47 skrev Anders <anders@xxxxxxx>:
> Kommunens svar:
>
> http://www.umea.se/umeakommun/kommunochpolitik/arkiv/artiklarkommun/kommentarerochsvaromfalletmeddataintrangochskadestand.5.65771eb14bfe25fed210151.html
>
> Ganska tydligt att det rör sig om en värdelöst hanterad
> incidenthantering i kombination med ren repression för att sända ett
> budskap.
>
> Jag är (som medlem) helt för ett uttalande av DFRI till stöd för den
> här unga hackern.
>
> // A
>
> On 03/19/2015 10:06 AM, Martin Millnert wrote:
>> Hej,
>>
>> en 17-åring har stämts av Umeå kommun för dataintrång.
>>
>> http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak=oyPCjLSBSV79P8cHlUKDET%2BLgsbrA%2F2dS%2Fy3pkgu2VflI%2BPR3w%2F8kyBe6emexg%3D%3D
>>
>>  TL;DR: En 17-åring hittade stora säkerhetsbrister i Umeå kommuns
>> skol-IT-miljö, bl.a. att användarnamn och lösenord låg sparat på
>> alla klientmaskiner, åtkomligt för vem som helst. Efter att ha ha
>> påtalat detta för kommunen utan någon som helst reaktion, gjorde
>> 17-åringen en proof-of-concept med sårbarheten; loggade in och
>> överlastade några servrar i 10 minuter.
>>
>> Som tack för det hela stämmer Umeå kommun 17-åringen för alla
>> kostnader relaterade till ärendet, inklusive kostnader att ta fram
>> bevismaterial till polisen.   Cirka 500 000 kr för att bl.a. byta
>> lösenord för ~600 användare.
>>
>>
>> Det jag undrar är om offentlighetssverige verkligen vill gå denna
>> vägen i extremt klara fall av whitehats som detta? Det verkar ju i
>> såfall enbart i dessa två riktningar: * Det verkar till fördröjd
>> upptäckt av felaktigheter, * Det verkar också mot "rapportering
>> inom korrekta kanaler", och för rapportering via
>> whistleblower-liknanade kanaler, d.v.s. anonymt och till stor
>> publik.
>>
>> Och till sist -- är det rimligt att användare skall hållas
>> kostnadsansvariga för IT-systemägarens kompetensbrister?
>>
>> DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i
>> rättegången?
>>
>> Vänligen, Martin
>>
>
> --
> DFRI-listan är öppen för alla.
> Listan arkiveras och publiceras öppet på internet.
> Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
> Listpolicy: https://www.dfri.se/regler-for-listan
>

--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan