Påviste sikkerhedshuller i it-system. Nu er han politianmeldt for hacking

To it-kyndige fædre fandt i 2014 en række sikkerhedshuller i et it-system til børnehaver, der bruges af flere kommuner landet over. Nu er den ene far blevet politianmeldt for hacking. Det skriver Version2.

It-systemet, Infoba, bruges til kommunikation mellem forældre og personale i daginstitutioner. Det indeholder derfor information om børnenes fravær, sundhedsoplysninger som allergier og sygdomme og ofte også personlige forhold i barnets familie, som forældrene har kommunikeret med pædagogerne om.

Den første af fejlene i systemet blev påvist i august 2014, da en af fædrene, Christian Liljedahls datter startede i en børnehave på Frederiksberg. Christian Liljedahl har i adskillige år arbejdet med udvikling og test af it-systemer, og han syntes, at systemet så gammeldags ud.

"Det ligner noget, der er holdt sammen med gaffatape. Nu har jeg arbejdet med test af it-systemer, og så kan man bare mærke, når hængslet på døren ser ud til at sidde løst,« siger han til Version2.

Blot ved at ændre et enkelt nummer, ville man ifølge Christian Liljedahl nemt kunne downloade information om andre børn, der var registreret i systemet. En påstand som Infoba bestrider.

Christian Liljedahl kontaktede leverandøren af systemet og informerede dem om sikkerhedshullet, som hurtigt efter blev rettet.

Hos leverandøren, Infoba, kan produktchef Torben Væring ikke forklare, hvorfor fejlen er sluppet gennem firmaets kvalitetskontrol.

"Vi tester selvfølgelig vores systemer, men her er der alligevel sluppet en fejl igennem. Fejl som vi rettede en halv time efter vi var blevet gjort opmærksom på dem," siger han til Jyllands-Posten og forklarer videre at der ikke er sluppet personfølsomme data om børnene ud og at det i det konkrete tilfælde heller ikke ville kunne lade sig gøre.

"Konkret har fejlen givet adgang til institutionens legekalender og til dele af en adresseliste med forældre," forklarer Torben Væring.

Den anden forælder Henrik Høyer kontaktede et par måneder senere Infoba, fordi han også havde fundet, hvad han selv betegner som alvorlige sikkerhedsbrister i systemet, men han fik aldrig svar på sin henvendelse.

"Jeg sendte dem en mail med overskriften 'Stort sikkerhedshul' og regnede med, at nogen ville ringe efter 10 minutter, men de ringede aldrig. Så fandt jeg tre-fire sikkerhedshuller mere på en time," forklarer Henrik Høyer.

I stedet for en opringning fra Infoba, fik Henrik Høyer fem måneder senere besøg af en politibetjent, som fortalte, at Infoba havde politianmeldt ham for hacking af virksomhedens system.

Hos Infoba benægter Torben Væring nogensinde at have modtaget en sådan mail.

"Vi modtog en mail fra Henrik Høyer, som kritiserede måden vores server på det tidspunkt var sat op på. Det valgte vi at tage til efterretning og ændre, men det var ikke noget, som gav nogen risiko for at uvedkommende fik adgang til personlige oplysninger om børnene og deres familie," slår Torben Væring fast.

Fordi Henrik Høyer, ifølge eget udsagn, aldrig fik svar på sin henvendelse, valgte han i stedet at gøre pædagoger og forældre i børnehaven opmærksom på problemet.

Ved at udnytte et af sikkerhedshullerne i systemet placerede han en besked på en infoskærm i børnehaven, hvor han skrev: "Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket."

Denne melding skabte ifølge Torben Væring en del bekymring blandt pædagogerne i institutionen.

"Det er en fejl, at det kunne lade sig gøre at placere den meddelelse. Og det hul blev også lukket omgående," medgiver Torben Væring, men han mener samtidig at Henrik Høyer her er gået langt over stregen for, hvad han som leverandør kan se gennem fingre med.

"Det skærmbillede Henrik Høyer dækkede med sin meddelelse bruges som evakueringsliste i institutionen, så hvis der var opstået brand, ville personalet ikke kunne få adgang til listen over, hvilke børn der var tilstede i institutionen. Derfor bliver jeg nødt til at reagere, for at vise at vi tager sikkerhed alvorligt," siger Torben Væring til Jyllands-Posten.

Henrik Høyer medgiver, at det er på grænsen af hvad man lovligt kan gøre, men forklarer til Version2, at sikkerhedshullet potentielt kunne være udnyttet til meget alvorligere angreb på systemet. En påstand som produktchef Torben Væring afviser, og som Henrik Høyer ifølge Væring ikke har dokumenteret.

Torben Væring forklarer, at han i systemets logfiler kan se, at Henrik Høyer har forsøgt at trænge ind i systemet.

"Der kunne jeg se, at han havde været meget kreativ med at se, hvordan han kunne komme igennem systemet. Der må man se på, om det er i god eller ond tro," siger han.

Da han efterfølgende viste logfilerne til efterforskere fra politiets Nationale Efterforskningscenter (NEC), som beskæftiger sig med hacking og kriminalitet på internettet, anbefalede efterforskerne ham at politianmelde Henrik Høyer.

At Infoba ikke har svaret på Henrik Høyers henvendelse, skyldes ifølge Torben Væring, at den adfærd, som Væring anser for ondsindet hacking, fandt sted inden firmaet havde nået at svare på Henrik Høyers henvendelse.

"Politiet mente, at det kunne blive en sag, og de anbefalede os ikke at kontakte ham. Det er grunden til, at vi ikke har gjort det. Vi når ikke at reagere på den første mail, før han hacker os, og lige så snart han gør det, så går det over i noget kriminelt," forklarer Torben Væring.