It-firmaet KMD har politianmeldt den borger, der i maj gjorde opmærksom på en fejl i den digitale pladsanvisning, som i 12 år har gjort det muligt for folk at få adgang til andres cpr-numre og navne.
Borgeren, Esben Warming Pedersen, har hacket sig ind i den digitale pladsanvisning, lyder det fra KMD, der ellers understreger, at de sætter pris på henvendelser fra borgere.
- Vi vil altid gerne have at vide, hvis der er fejl, mangler eller sikkerhedsrisici i vores systemer, siger direktør Mette Louise Kaagaard, direktør i KMD.
Men i dette tilfælde har borgeren ikke blot konstateret en fejl i den digitale pladsanvisning og rettet henvendelse til Frederiksberg Kommune, hvor han bor.
Ifølge KMD vælger borgeren at udnytte fejlen ved at gå ind bag ved i koden og indsætte scripts, og derfor vælger KMD at gå til politiet.
- Han finder en sårbarhed i systemet, og på baggrund af det vælger han at lave et hack, gå ind i koden og yderligere udnytte det hul, der er i systemet, og trække flere oplysninger, end du og jeg kunne have trukket ud. Det betragter vi som hacking, det ser vi alvorligt på, og derfor melder vi ham til politiet, siger Mette Louise Kaagaard fra KMD.
KMD fremhæver samtidig, at Esben Warming Pedersen er ansat hos et konkurrerende firma i it-branchen.
Chokeret over hacking-anmeldelse
Esben Warming Pedersen opdagede cpr-hullet i maj, da han skulle finde en institutionsplads til sin søn på Frederiksberg.
Han kontaktede Frederiksberg Kommune for at gøre opmærksom på problemet, og Frederiksberg Kommune rettede efterfølgende kontakt til KMD.
Samtidig henvendte Esben Warming Pedersen sig til DR Nyheder, fortalte om it-hullet og sendte en video, der dokumenterede problemet i it-systemet Digital Pladsanvisning, som KMD står for.
DR Nyheder kontaktede KMD og viste dem videoen, der nu har ført til, at Esben Warming Pedersen er blevet politianmeldt.
Selv er Esben Warming Pedersen overrasket over, at han er blevet politianmeldt.
- Jeg synes ikke på nogen måde, at det, jeg har gjort, kan betegnes som hacking, så det blev jeg noget chokeret over, siger han.
I stedet mener Esben Warming Pedersen, at det var nødvendigt for ham at "lirke lidt" i it-systemet for at se, hvad der var galt, før han tog kontakt til nogen.
Han understreger, at han handlede som borger og ikke som ansat i en it-virksomhed, der konkurrerer med KMD, da han fandt hullet.
Udover at gå til politiet har KMD også rettet henvendelse til Esben Warming Pedersens arbejdsplads, og den fremgangsmåde lægger Esben Warming Pedersen afstand til.
- Selvfølgelig vil det være it-professionelle, der finder de her huller, for det er os, der har forstand på det, siger han og tilføjer:
- Jeg synes, det er en ubehagelig måde at prøve at lukke munden på folk, der prøver at gøre opmærksom på problemer.
Sådan har fejlen vist sig
- •
Borgeren logger ind på Digital Pladsanvisning.
- •
Hvis han sætter hak under samlever-feltet, er en cpr-søgemaskine dukket op.
- •
Her har borgeren kunnet indtaste tilfældige cpr-numre, og så har systemet vist navnet på den, cpr-nummeret tilhører.
- •
Det vil sige, at systemet ikke har begrænset søgningen til kun at vise navne på den person, der er registreret på borgerens adresse.
- •
Hullet kan have betydet, at folk med it-kompetencer har kunnet sætte en lille kode ind i feltet og i princippet trække navngivne cpr-numre ud på hele Danmarks befolkning.