Tänkte precis posta den länken Anders har delat. Vad är det som ska bli sagt?
1) Intrånget. Att gå in på själva intrånget tror jag är en återvändsgränd, ett intrång är ett intrång och han har erkänt samt blivit dömd för det redan.
2) Summan. Här har jag ingen kunskap om vad som är rimligt att begära men som medborgare tycker jag att det är konstigt att en smygfilmning av sex och publicera på internet ger 74000kr i skadestånd och så fort det handlar om rent tekniska problem så sticker beloppen iväg i flera hundratusen eller till och med miljoner. Det är ju skillnad på skadestånd i brottsmål och civila rättsfall men varför inte begära skadestånd i första brottsmålet?
3) Incidenthantering. Google har som policy att släppa all information 90 dagar efter man hittar en brist i något system. Detta ger andra aktörer chans att fixa till sina fel och ge organisationer/individer tid att patcha. I januari/februari satte Google hårt mot hårt mot Microsoft i något ärende som slutade i att de släppte lite på tyglarna och ger dispens med ytterligare 14 dagar ifall ett företag ber snällt och har en patch under utveckling så totalt 104 dagar. Är det något sådant som behöver bli allmänt accepterat? Vem som helst skickar buggrapport till kommun/företag/annan utvecklare (genom officiella kanaler) och efter 90 dagar får man släppa all information fri om man vill?
Det var några tankar jag hade. -- Christoffer Holmstedt
Den 23 mars 2015 14:47 skrev Anders anders@4zm.org:
Kommunens svar:
http://www.umea.se/umeakommun/kommunochpolitik/arkiv/artiklarkommun/kommenta...
Ganska tydligt att det rör sig om en värdelöst hanterad incidenthantering i kombination med ren repression för att sända ett budskap.
Jag är (som medlem) helt för ett uttalande av DFRI till stöd för den här unga hackern.
// A
On 03/19/2015 10:06 AM, Martin Millnert wrote:
Hej,
en 17-åring har stämts av Umeå kommun för dataintrång.
http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak...
TL;DR: En 17-åring hittade stora säkerhetsbrister i Umeå kommuns skol-IT-miljö, bl.a. att användarnamn och lösenord låg sparat på alla klientmaskiner, åtkomligt för vem som helst. Efter att ha ha påtalat detta för kommunen utan någon som helst reaktion, gjorde 17-åringen en proof-of-concept med sårbarheten; loggade in och överlastade några servrar i 10 minuter.
Som tack för det hela stämmer Umeå kommun 17-åringen för alla kostnader relaterade till ärendet, inklusive kostnader att ta fram bevismaterial till polisen. Cirka 500 000 kr för att bl.a. byta lösenord för ~600 användare.
Det jag undrar är om offentlighetssverige verkligen vill gå denna vägen i extremt klara fall av whitehats som detta? Det verkar ju i såfall enbart i dessa två riktningar: * Det verkar till fördröjd upptäckt av felaktigheter, * Det verkar också mot "rapportering inom korrekta kanaler", och för rapportering via whistleblower-liknanade kanaler, d.v.s. anonymt och till stor publik.
Och till sist -- är det rimligt att användare skall hållas kostnadsansvariga för IT-systemägarens kompetensbrister?
DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i rättegången?
Vänligen, Martin
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan