*

Erhverv
0

KMD: Vores system er hullet - men Esben Warming er stadig en hacker

Esben Warming er skyldig, fordi han har udnyttet det sikkerhedshul i KMD, der har været i 12 år, oplyser direktør i KMD.

Arkivfoto

Ja, der har været et sikkerhedsbrist i 12 år, som har gjort det muligt at få adgang til cpr-numre fra 80 kommuner, men det ændrer ikke på, at Esben Warming er skyldig i at hacke vores system.

Sådan lyder det fra Mette Kaagaard, direktør for Borgernære Serviceløsninger i KMD, efter at det tidligere i dag kom frem, at den store it-gigant, KMD, der leverer it-løsninger til danske kommuner, har politianmeldt en person for hacking. Det er Esben Warming, it-ekspert hos en konkurrerende virksomhed, de har politianmeldt.

»Vi har valgt at politianmelde Esben Warming, fordi han ikke bare valgte at gøre opmærksom på sikkerhedshullet, men fordi han brugte det til at udtrække data,« siger Mette Kaagaard, direktør for Borgernære Serviceløsninger i KMD.

Efter KMD's eget udsagn har Esben Warming »udnyttet en brist i KMD's it-system til at skaffe sig adgang til stribevis af cpr-numre.«

Men Esben Warming fortæller, at det er et stort spin, for at KMD kan fjerne fokus fra deres sikkerhedsbrister. Han forklarer, at han forsøgte at gøre KMD opmærksom på problemer i selskabets it-systemer.

For at være sikker på, at der var et problem, skrev han et stykke kode, der gjorde det muligt at se, om systemet gjorde det muligt at finde andre borgeres navne og cpr-numre.

»Jeg gør det jo ikke for at hacke, men for at vise, at der er et sikkerhedshul. Det tog mig et par timer at skrive koden, og så pløjede den ud med fem cpr-numre i sekundet,« sagde han til Finans tidligere i dag.

KMD leverer it-systemer til 80 kommuner, og fortæller ifølge ITWatch, at fejlen har eksisteret i deres system i 12 år. Esben Warming stiller sig selv uforstående over for, hvorfor han skulle politianmeldes, når han forsøgte at hjælpe KMD.

Mette Kaagaard fortæller, at KMD er imødekomne overfor henvendelser og sikkerhedsbrister, men at Esben Warming gik et skridt for langt.

Hun oplyser at, »der er ikke tale om personfølsomme oplysninger her.«

Men der er derimod tale om persondata, som persondataloven definerer som: »persondata omfatter f.eks. navne, adresser, telefonnumre, ip-adresser, e-mailadresser, cpr-numre, og omfatter eksempelvis også geografiske oplysninger indhentet via geotagging eller sociale medier.«

De oplysninger har været i risiko for misbrug de seneste 12 år. KMD har valgt at overdrage sagen til politiet og offentlige myndigheder, oplyser Mette Kaagaard.

Læs også