Hej,
en 17-åring har stämts av Umeå kommun för dataintrång.
http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak...
TL;DR: En 17-åring hittade stora säkerhetsbrister i Umeå kommuns skol-IT-miljö, bl.a. att användarnamn och lösenord låg sparat på alla klientmaskiner, åtkomligt för vem som helst. Efter att ha ha påtalat detta för kommunen utan någon som helst reaktion, gjorde 17-åringen en proof-of-concept med sårbarheten; loggade in och överlastade några servrar i 10 minuter.
Som tack för det hela stämmer Umeå kommun 17-åringen för alla kostnader relaterade till ärendet, inklusive kostnader att ta fram bevismaterial till polisen. Cirka 500 000 kr för att bl.a. byta lösenord för ~600 användare.
Det jag undrar är om offentlighetssverige verkligen vill gå denna vägen i extremt klara fall av whitehats som detta? Det verkar ju i såfall enbart i dessa två riktningar: * Det verkar till fördröjd upptäckt av felaktigheter, * Det verkar också mot "rapportering inom korrekta kanaler", och för rapportering via whistleblower-liknanade kanaler, d.v.s. anonymt och till stor publik.
Och till sist -- är det rimligt att användare skall hållas kostnadsansvariga för IT-systemägarens kompetensbrister?
DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i rättegången?
Vänligen, Martin