It-gigant anmeldte Esben for hacking: Nu dropper politiet sagen

Et sikkerhedshul i den digitale pladsanvisning gav far sigtelse på nakken.

Da Esben Warming Pedersen i 2017 skulle skrive sin søn op til institution på Frederiksberg, opdagede han et cpr-hul i den digitale pladsanvisning.

Der var ikke tale om hacking, da den it-kyndige Esben Warming Pedersen i 2017 meldte et sikkerhedshul i den digitale pladsanvisning til Frederiksberg Kommune.

- Det har ikke været hacking. Det har politiet og anklagemyndigheden nu slået fast, siger han.

It-virksomheden KMD, der sælger og driver systemet Digital Pladsanvisning i over 80 kommuner, valgte at anmelde Esben Warming Pedersen for at have hacket systemet.

Politiet sigtede ham, men sigtelsen blev for få måneder siden droppet, og KMD har valgt ikke at modsætte sig politiets afgørelse i sagen. Virksomhedens klagefrist over politiets behandling af sagen er i dag udløbet.

- KMD har valgt ikke at gøre indsigelser, og det er jeg selvfølgelig utroligt glad for, siger Esben Warming Pedersen.

Søn skulle i vuggestue

Det var, da Esben Warming Pedersen i maj 2017 skulle skrive sin søn op til institution på Frederiksberg, at han opdagede hullet i den digitale pladsanvisning.

På it-løsningen er der et felt, hvor man ved hjælp af cpr-nummer kan slå sin samlever op.

Sådan viste fejlen sig:

  • Borgeren logger ind på Digital Pladsanvisning.

  • Hvis man sætter hak under samlever-feltet, er en cpr-søgemaskine dukket op.

  • Her har borgeren kunnet indtaste tilfældige cpr-numre, og så har systemet vist navnet på den, cpr-nummeret tilhører.

  • Det vil sige, at systemet ikke har begrænset søgningen til kun at vise navne på den person, der er registreret på borgerens adresse.

Den it-kyndige far fandt ud af, at der var et hul i systemet, som i værste fald har betydet, at it-kyndige i 12 år har kunnet sætte en lille "regnemaskine" ind i koden bag søgefeltet og trække cpr-numre ud på rigtig mange mennesker.

Blev meldt til politiet

Esben Warming arbejdede dengang som it-konsulent hos Netcompany, som er landets største it-selskab og KMD's konkurrent.

Efter at han tog kontakt til Frederiksberg Kommune, sendte kommunen sagen videre til KMD, som valgte at melde ham til politiet.

- Jeg syntes, det var meget ubehageligt, at de kom med de her mistanker, og det var med til at dreje hele sagen væk fra selve problemstillingen. De tog kontakt til min arbejdsplads og var med til at mistænkeliggøre mig, siger Esben Warming Pedersen.

Sagens udfald er ifølge Esben Warming Pedersen med til at sende et signal om, at han ikke var på kant med loven, da han selv undersøgte fejlen hos KMD.

Han håber, det giver andre it-kyndige mod til at stå frem, når de opdager sikkerhedsproblemer.

Var sagen endt for en dommer, er Esben Warming Pedersen ikke i tvivl om, at det ville tage modet fra andre og dermed gøre det sværere at opdage lignende sikkerhedsfejl i fremtiden.

- Det kan være med til at afskrække mange andre fra at melde den slags, hvis man er bange for at få en retssag på nakken, siger han.

KMD: Metoden var ikke lovlig

It-virksomheden KMD, som meldte sagen til politiet, har ikke ønsket at stille op til interview.

Selvom virksomheden har valgt ikke at klage over politiets afgørelse, så skriver kommunikationschef Christoffer Hellmann i en e-mail til DR Nyheder, at KMD stadig mener, at Esben Warming Pedersen var på kant med loven.

- Det var vores opfattelse, at Esben Warmings metode til at gøre opmærksom på et sikkerhedshul, hverken var lovlig eller på linje med god praksis i sådanne sager, skriver Christoffer Hellmann.

KMD's kommunikationschef skriver også i e-mailen, at Esben Warming Pedersen i virksomhedens øjne gik for langt i sin undersøgelse af den digitale pladsanvisning.

- Vores analyser viste, at han foretog 2.366 uretmæssige opslag eller forsøg på opslag i systemet, hvoraf 850 opslag var på gyldige cpr-numre. Men vi tager naturligvis opgivelsen af sigtelsen til efterretning, skriver Christoffer Hellmann.