- Jeg ville gøre det igen.
Så klart er budskabet fra Esben Warming seks måneder og en masse frustrationer efter, han blev politianmeldt for hacking i en af årets mest spektakulære danske it-sager.
Tilbage i maj opdagede Esben Warming ved et tilfælde et sikkerhedshul i et kommunalt it-system og ville vise fejlen til Frederiksberg Kommune, hvor han bor.
Men i stedet for et takkekort og en buket blomster endte han selv med at få en politisag på nakken – med beskyldning om uberettiget at have skaffet sig adgang til danskeres CPR-numre. Anklagen kom fra KMD, der har lavet systemet.
Selvom Esben Warming har måtte bruge rigtig mange timer på sagen, som han havde tænkt, han skulle bruge på sin nyfødte søn, så er der kun én ting, han særligt ærgrer sig over, når han ser tilbage på sagen:
- Jeg var ked af, at hele opmærksomheden blev drejet over på min person og spørgsmålet, om jeg var en hacker mere end, at det her sikkerhedshul har været der i 12 år og KMDs andel i problemet, siger han i et interview med DRs teknologiprogram So ein Ding.
Fandt fejlen tilfældigt
Sagen starter, da Esben Warming skal finde en børnehaveplads til sin søn ved hjælp af kommunens pladsanvisningssystem. Her opdager han et samleleverfelt, hvor han skal udfylde sin hustrus CPR-nummer, hvorefter systemet så selv finder hendes navn frem.
Det undrer Esben Warming, der selv arbejder i det konkurrerende firma NetCompany, der leverer it-løsninger til det offentlige. For kan man så slå enhver persons CPR nummer op?
For at teste den mistanke, slog han sin svigerindes CPR-nummer op, og da hendes navn som forventet poppede op, var hans mistanke bekræftet: Der var tale om en åben CPR-søgemaskine.
Kommunen tog det ikke seriøst
Han kontaktede straks kommunen for at gøre opmærksom på fejlen, men ifølge Esben Warming forstod de aldrig alvoren i problemet.
Kommunen bad ham om selv at undersøge problemet nærmere. Senere er det kommet frem, at KMD i første omgang ikke mente, at der var nogen fejl i systemet.
Warming oprettede derfor en kode, som automatisk hev CPR-numre ud af databasen, for at se, om systemet havde en indbygget stopklods og ville blokere ham efter nogle forsøg. Det gjorde det ikke.
Gik til pressen
Da Frederiksberg Kommune og KMD ifølge Esben Warming ikke tog hans advarsler alvorligt, besluttede han sig for at gå til pressen med sagen.
Han optog en video af hans kode, der viste fejlen, og sendte den til Danmarks Radio i håb om, at det ville få KMD og Frederiksberg Kommune til at rette op.
Over for So ein Ding forklarer Warming, hvorfor han gik til pressen med sagen:
- Jeg fandt ud af, at det ikke bare var Frederiksberg Kommune, der havde problemet. Der er 87 kommuner, der har problemet. Jeg kunne se, at systemet var gammelt og kunne sprøjte CPR-numre ud. Også på folk, som man skulle tro havde beskyttelse.
Men det skulle han ikke have gjort ifølge KMD, der leverer systemet til Frederiksberg og næsten alle landets kommuner.
Fortryder ikke
KMD mener, at Esben Warming gik alt for langt, da han skrev en kode, der hev CPR-numre ud af deres system.
I første omgang lød anklagen, at han havde hacket KMDs system, hvilket senere er blevet ændret til en anklage om uberettiget at have skaffet sig adgang til andres CPR-numre.
Det, der var ment som en god gerning fra en borger, og skulle vise et 12 år gammelt sikkerhedshul, endte derfor med en politianklage.
Det får dog ikke Esben Warming til at fortryde, at han gik ind i sagen, selvom han gerne ville have undværet det store presse-postyr. Hvis han igen fandt et sikkerhedshul i et it-system, ville han gøre det samme:
- Jeg synes, det er vigtigt, at der er åbenhed. Jeg vil måske tænke mig lidt om, inden jeg går til medierne, men på den anden side rullede sagen jo først, efter DR var gået ind i sagen, og kommunerne fik først besked dér, siger han.
Se hele interviewet med Esben Warming øverst i artiklen, som blev lavet i forbindelse med tv-programmet Ding Awards, der blev sendt fra et værtshus på Frederiksberg i København.