Erhverv

Familiefar opdagede brist og blev sigtet for hacking - nu er sagen lukket

Det var ikke hacking, da en københavnsk familiefar opdagede en sikkerhedsbrist i et it-system udviklet af KMD, vurderer Københavns Politi.

I 2017 blev en københavnsk mand sigtet for at have hacket sig ind i et it-system fra KMD. Nu har politiet frafaldet sigtelsen. Foto: Jens Dresling

Københavns Politi har besluttet at frafalde en sigtelse mod en tidligere Netcompany-medarbejder, der blev beskyldt for at hacke et it-system fra KMD.

KMD meldte sagen til politiet i 2017, fordi Esben Warming Pedersen ved en tilfældighed opdagede en sikkerhedsbrist i et it-system til digital pladsanvisning.

Bristen bestod i, at systemet spyttede et navn ud, når man tastede et cpr-nummer ind, og ifølge KMD benyttede Esben Warming Pedersen hullet til at lave 2366 opslag, hvoraf de 850 var gyldige cpr-numre, som fik it-systemet til at koble dem med et navn.

Esben Warming Pedersen alarmerede Frederiksberg Kommune om sikkerhedsbristen, og han har hele tiden fastholdt, at han udelukkende lavede opslagene med et stykke kode, der automatiserede opslagene, for at dokumentere problemet.

Københavns Politi sigtede ham i 2017 efter en bestemmelse i straffeloven, der kan give op til halvandet års fængsel, men nu er sagen lukket ned, og KMD har besluttet ikke at klage over afgørelsen.

»Når vi møder en - efter vores overbevisning - ikke lovlig tilgang og behandling af vores kunders data, så vil det være forbundet med vanskeligheder ikke at anmelde det. Det var vores opfattelse, at Esben Warmings metode til at gøre opmærksom på et sikkerhedshul, hverken var lovlig eller på linje med god praksis i sådanne sager,« siger kommunikationschef i KMD Christoffer Hellmann.

Esben Warming Pedersen siger, at han er lettet.

»Selv om jeg hele tiden har følt, at jeg var uskyldig, så har det ligget som en skygge i min tilværelse, for hvad ville det betyde for mit virke som it-professionel, hvis jeg blev dømt?« siger han.

Christoffer Hellmann fortæller, at KMD har taget politiets afgørelse til efterretning, og han oplyser, at KMD på bagkant af sagen tog initiativ til sammen med IT-Branchen at lave et kodeks for indrapportering af sikkerhedsbrister.

Esben Warming Pedersen er ifølge eget udsagn fortsat sigtet for at have brudt databeskyttelsesloven i forbindelse med sagen, men for dette forhold vil han formentlig højst kunne straffes med en bøde.

BRANCHENYT
Læs også