Hej,
en 17-åring har stämts av Umeå kommun för dataintrång.
http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak...
TL;DR: En 17-åring hittade stora säkerhetsbrister i Umeå kommuns skol-IT-miljö, bl.a. att användarnamn och lösenord låg sparat på alla klientmaskiner, åtkomligt för vem som helst. Efter att ha ha påtalat detta för kommunen utan någon som helst reaktion, gjorde 17-åringen en proof-of-concept med sårbarheten; loggade in och överlastade några servrar i 10 minuter.
Som tack för det hela stämmer Umeå kommun 17-åringen för alla kostnader relaterade till ärendet, inklusive kostnader att ta fram bevismaterial till polisen. Cirka 500 000 kr för att bl.a. byta lösenord för ~600 användare.
Det jag undrar är om offentlighetssverige verkligen vill gå denna vägen i extremt klara fall av whitehats som detta? Det verkar ju i såfall enbart i dessa två riktningar: * Det verkar till fördröjd upptäckt av felaktigheter, * Det verkar också mot "rapportering inom korrekta kanaler", och för rapportering via whistleblower-liknanade kanaler, d.v.s. anonymt och till stor publik.
Och till sist -- är det rimligt att användare skall hållas kostnadsansvariga för IT-systemägarens kompetensbrister?
DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i rättegången?
Vänligen, Martin
Hej Martin!
Tack för bra sammanfattning.
Martin Millnert martin@millnert.se wrote Thu, 19 Mar 2015 10:06:24 +0100:
| DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i | rättegången?
Om vad vi tror effekterna av kommunens beteende kan bli?
Någon som redan betalar för VK och kan dela kommunens svar: http://www.vk.se/plus/1408022/meningen-ar-inte-att-knacka-nagon ? -- Christoffer Holmstedt
Den 19 mars 2015 10:37 skrev Linus Nordberg linus@nordberg.se:
Hej Martin!
Tack för bra sammanfattning.
Martin Millnert martin@millnert.se wrote Thu, 19 Mar 2015 10:06:24 +0100:
| DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i | rättegången?
Om vad vi tror effekterna av kommunens beteende kan bli?
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
Nu har SVT plockat upp nyheten http://www.svt.se/nyheter/regionalt/vasterbottensnytt/kravs-pa-en-halv-miljo... -- Christoffer Holmstedt
Den 19 mars 2015 10:40 skrev Christoffer Holmstedt christoffer.holmstedt@gmail.com:
Någon som redan betalar för VK och kan dela kommunens svar: http://www.vk.se/plus/1408022/meningen-ar-inte-att-knacka-nagon ? -- Christoffer Holmstedt
Den 19 mars 2015 10:37 skrev Linus Nordberg linus@nordberg.se:
Hej Martin!
Tack för bra sammanfattning.
Martin Millnert martin@millnert.se wrote Thu, 19 Mar 2015 10:06:24 +0100:
| DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i | rättegången?
Om vad vi tror effekterna av kommunens beteende kan bli?
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
2015-03-20 9:58 GMT+01:00 Christoffer Holmstedt < christoffer.holmstedt@gmail.com>:
Nu har SVT plockat upp nyheten
http://www.svt.se/nyheter/regionalt/vasterbottensnytt/kravs-pa-en-halv-miljo...
De verkar fylla på också, och ännu fler blir involverade:
Branschfolk protesterar till stöd för Erik http://www.svt.se/nyheter/regionalt/vasterbottensnytt/branschfolk-protestera...
Baserat på Rikard Bergs upprop: https://www.facebook.com/groups/860320934028203/
Tittarna om kommunen: Skärp er! http://www.svt.se/nyheter/regionalt/vasterbottensnytt/tittarna-om-kommunen-s...
-joelpurra.com
Kommunens svar:
http://www.umea.se/umeakommun/kommunochpolitik/arkiv/artiklarkommun/kommenta...
Ganska tydligt att det rör sig om en värdelöst hanterad incidenthantering i kombination med ren repression för att sända ett budskap.
Jag är (som medlem) helt för ett uttalande av DFRI till stöd för den här unga hackern.
// A
On 03/19/2015 10:06 AM, Martin Millnert wrote:
Hej,
en 17-åring har stämts av Umeå kommun för dataintrång.
http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak...
TL;DR: En 17-åring hittade stora säkerhetsbrister i Umeå kommuns skol-IT-miljö, bl.a. att användarnamn och lösenord låg sparat på alla klientmaskiner, åtkomligt för vem som helst. Efter att ha ha påtalat detta för kommunen utan någon som helst reaktion, gjorde 17-åringen en proof-of-concept med sårbarheten; loggade in och överlastade några servrar i 10 minuter.
Som tack för det hela stämmer Umeå kommun 17-åringen för alla kostnader relaterade till ärendet, inklusive kostnader att ta fram bevismaterial till polisen. Cirka 500 000 kr för att bl.a. byta lösenord för ~600 användare.
Det jag undrar är om offentlighetssverige verkligen vill gå denna vägen i extremt klara fall av whitehats som detta? Det verkar ju i såfall enbart i dessa två riktningar: * Det verkar till fördröjd upptäckt av felaktigheter, * Det verkar också mot "rapportering inom korrekta kanaler", och för rapportering via whistleblower-liknanade kanaler, d.v.s. anonymt och till stor publik.
Och till sist -- är det rimligt att användare skall hållas kostnadsansvariga för IT-systemägarens kompetensbrister?
DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i rättegången?
Vänligen, Martin
Tänkte precis posta den länken Anders har delat. Vad är det som ska bli sagt?
1) Intrånget. Att gå in på själva intrånget tror jag är en återvändsgränd, ett intrång är ett intrång och han har erkänt samt blivit dömd för det redan.
2) Summan. Här har jag ingen kunskap om vad som är rimligt att begära men som medborgare tycker jag att det är konstigt att en smygfilmning av sex och publicera på internet ger 74000kr i skadestånd och så fort det handlar om rent tekniska problem så sticker beloppen iväg i flera hundratusen eller till och med miljoner. Det är ju skillnad på skadestånd i brottsmål och civila rättsfall men varför inte begära skadestånd i första brottsmålet?
3) Incidenthantering. Google har som policy att släppa all information 90 dagar efter man hittar en brist i något system. Detta ger andra aktörer chans att fixa till sina fel och ge organisationer/individer tid att patcha. I januari/februari satte Google hårt mot hårt mot Microsoft i något ärende som slutade i att de släppte lite på tyglarna och ger dispens med ytterligare 14 dagar ifall ett företag ber snällt och har en patch under utveckling så totalt 104 dagar. Är det något sådant som behöver bli allmänt accepterat? Vem som helst skickar buggrapport till kommun/företag/annan utvecklare (genom officiella kanaler) och efter 90 dagar får man släppa all information fri om man vill?
Det var några tankar jag hade. -- Christoffer Holmstedt
Den 23 mars 2015 14:47 skrev Anders anders@4zm.org:
Kommunens svar:
http://www.umea.se/umeakommun/kommunochpolitik/arkiv/artiklarkommun/kommenta...
Ganska tydligt att det rör sig om en värdelöst hanterad incidenthantering i kombination med ren repression för att sända ett budskap.
Jag är (som medlem) helt för ett uttalande av DFRI till stöd för den här unga hackern.
// A
On 03/19/2015 10:06 AM, Martin Millnert wrote:
Hej,
en 17-åring har stämts av Umeå kommun för dataintrång.
http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak...
TL;DR: En 17-åring hittade stora säkerhetsbrister i Umeå kommuns skol-IT-miljö, bl.a. att användarnamn och lösenord låg sparat på alla klientmaskiner, åtkomligt för vem som helst. Efter att ha ha påtalat detta för kommunen utan någon som helst reaktion, gjorde 17-åringen en proof-of-concept med sårbarheten; loggade in och överlastade några servrar i 10 minuter.
Som tack för det hela stämmer Umeå kommun 17-åringen för alla kostnader relaterade till ärendet, inklusive kostnader att ta fram bevismaterial till polisen. Cirka 500 000 kr för att bl.a. byta lösenord för ~600 användare.
Det jag undrar är om offentlighetssverige verkligen vill gå denna vägen i extremt klara fall av whitehats som detta? Det verkar ju i såfall enbart i dessa två riktningar: * Det verkar till fördröjd upptäckt av felaktigheter, * Det verkar också mot "rapportering inom korrekta kanaler", och för rapportering via whistleblower-liknanade kanaler, d.v.s. anonymt och till stor publik.
Och till sist -- är det rimligt att användare skall hållas kostnadsansvariga för IT-systemägarens kompetensbrister?
DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i rättegången?
Vänligen, Martin
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
Anders anders@4zm.org wrote Mon, 23 Mar 2015 14:47:57 +0100:
| Kommunens svar: | | http://www.umea.se/umeakommun/kommunochpolitik/arkiv/artiklarkommun/kommenta... | | Ganska tydligt att det rör sig om en värdelöst hanterad | incidenthantering i kombination med ren repression för att sända ett | budskap.
Vad är svaret? Jag ser bara
--8<---------------cut here---------------start------------->8--- Kommentarer och svar om fallet med dataintrång och skadestånd
Umeå kommun får mycket kritik och många frågor om fallet med den person som har blivit dömd för dataintrång, och kommunens anspråk på skadestånd för det. På den här sidan kommer vi att ge vår bild av fallet för att bemöta medierapportering och kritik i sociala medier. Vad händer nu?
Just nu, under måndag 23 mars, håller vi på att sammanställa fler frågor, synpunkter och svar, som kommer att publiceras under morgondagen.
Rent allmänt är vi alltid intresserade och tacksamma för synpunkter som kan förbättra våra verksamheter. Vi har också kontaktvägar internt för våra användare via en supportfunktion, och för invånare via vår kontaktsida. --8<---------------cut here---------------end--------------->8---
tis 2015-03-24 klockan 07:37 +0100 skrev Linus Nordberg:
Vad är svaret? Jag ser bara ...
Så här såg samma sida/url ut initialt, vilket är den version folk har reagerat på .
https://lh5.googleusercontent.com/-tulxGMiU5hs/VRBtpoP6ScI/AAAAAAAABa0/cKsZn...
// Andreas
Tja,
Jag tittar på att bjuda ner stackarn till Birdie (där vi står för kostnaden),
Vill ni göra något tillsammans med oss för att försöka lyfta upp frågan igen (det är om två månader) ?
Sjukt efterblivet att sätta han i den situationen
2015-03-24 7:45 GMT+01:00 Andreas Olsson andreas@arrakis.se:
tis 2015-03-24 klockan 07:37 +0100 skrev Linus Nordberg:
Vad är svaret? Jag ser bara ...
Så här såg samma sida/url ut initialt, vilket är den version folk har reagerat på .
https://lh5.googleusercontent.com/-tulxGMiU5hs/VRBtpoP6ScI/AAAAAAAABa0/cKsZn...
// Andreas
Jag tror att någon redan hunnit före när det gäller att ta honom ner till Stockholm och erbjuda honom uppdrag. :)
/amel
-----Ursprungligt meddelande----- Från: Lezgin Bakircioglu [mailto:lerra82@gmail.com] Skickat: den 24 mars 2015 09:21 Till: Andreas Olsson Kopia: listan@lists.dfri.se Ämne: [DFRI-listan] Re: [DFRI-listan] Dataintrång: Umeå kommun vs 17-åring
Tja,
Jag tittar på att bjuda ner stackarn till Birdie (där vi står för kostnaden),
Vill ni göra något tillsammans med oss för att försöka lyfta upp frågan igen (det är om två månader) ?
Sjukt efterblivet att sätta han i den situationen
2015-03-24 7:45 GMT+01:00 Andreas Olsson <andreas@arrakis.se mailto:andreas@arrakis.se >:
tis 2015-03-24 klockan 07:37 +0100 skrev Linus Nordberg: > Vad är svaret? Jag ser bara > ... Så här såg samma sida/url ut initialt, vilket är den version folk har reagerat på . https://lh5.googleusercontent.com/-tulxGMiU5hs/VRBtpoP6ScI/AAAAAAAABa0/cKsZn... // Andreas
-
Anders -
Andreas Olsson -
Anne-Marie Eklund-Löwinder -
Christoffer Holmstedt -
Joel Purra -
Lezgin Bakircioglu -
Linus Nordberg -
Martin Millnert