Spaceserver Skrevet 9. februar 2015 Del Skrevet 9. februar 2015 Hei og hå! Jeg klarte idag å komme inn på skolens applikasjonsserver, på den var det en delt mappe som het sikker sone og i den lå det noen .XML. Filer, når jeg åpner de i Internet Explorer så ser jeg at det er data ifra oppad lærerweb med navn, telefonnummer, adresse og personnummer i klartekst. Noen andre her som har vert borti noe lignende? Burde jeg si ifra til IT eller læreren min? Og hva blir evt. Konsekvensene? Lenke til kommentar
conundrum Skrevet 9. februar 2015 Del Skrevet 9. februar 2015 (endret) Å klikke på filer/mapper som en publiserer på internnettet eller Internet er "hacking" på samme måte som det å gå inn en åpen dør er "innbrudd". Altså ikke i det hele tatt. Med mindre du logget på med en konto som ikke er din og som du ikke skal ha tilgang til, har du ikke gjort noe galt. MEN: Det betyr ikke at du kan regne med å bli møtt med noen form for forståelse dersom du melder fra om dette. Den du melder fra til, vil ikke ha detaljkunnskap om hvordan systemet fungerer. Når feilen meldes videre (for dette er en åpenbar, amatørmessig konfigurasjonsfeil), vil sannsynligvis leverandøren eller driftsansvarlig prøve å fraskrive seg ansvaret ved å legge skylden på deg. Hvis du sier fra, KAN du være heldig og bare ende opp med en lett reprimande. Du kan også risikere politianmeldelse, og selv om en slik sak nok vil koke bort i kål etter en stund, kan du risikere å måtte gå gjennom en periode med politiavhør, konfiskering av datautstyr og utvisning fra skolen. Er det verdt det? Det du garantert IKKE vil oppleve, er å få noen form for anerkjennelse for at du har oppdaget og meldt fra om en svikt i systemet. Utakk er så absolutt verdens lønn. Mitt (muligens litt kontroversielle) råd er derfor dette: Ikke si noe til noen, og sats på at det ikke er noen logger som avslører at du har aksessert disse filene. Sannsynligvis er det ikke det, eller det er ingen som leser disse loggene. (Hvis du kjenner noen som har sine personlige data lagret i disse systemene og som derfor risikerer at sensitive data om dem kan komme på avveie, kan du evt. advare dem anonymt etter en stund. La det gå såpass lang tid at aksessloggene sannsynligvis er overskrevet før du varsler.) Endret 9. februar 2015 av conundrum 8 Lenke til kommentar
MetaBaron Skrevet 9. februar 2015 Del Skrevet 9. februar 2015 @ conundrum Jeg vil bare si at dette høres ut som et godt og gjennomtenkt råd, og jeg er fullstendig enig :-) Lenke til kommentar
Horrorbyte Skrevet 9. februar 2015 Del Skrevet 9. februar 2015 I utgangspunktet er det positivt at folk sier fra når de oppdager feil. Jeg har selv gitt beskjed til ulike selskaper om langt mer alvorlige ting, og jeg har enten fått takk eller ingen tilbakemelding. MEN – og dette er viktig – jeg har ikke brutt norsk lov. Har du brutt norsk lov, bør du tenke en ekstra gang gjennom om du ønsker å innrømme det. Noen er greie, og vil takke deg – kanskje til og med gi deg en belønning – men jeg ville ikke satt penger på at det skjer; særlig ikke om det er en skole eid av det offentlige. Det er for øvrig begrenset hvor alvorlig den informasjonen er, selv om det kan være ubehagelig for de som er rammet. 1 Lenke til kommentar
fjs Skrevet 10. februar 2015 Del Skrevet 10. februar 2015 Jeg ville gjort helt motsatt imo, jeg ville gått frem med at jeg var it interessert og fant et sikkerhetshull. Hvis du fant det, betyr det at andre kan finne det. Andre som kan finne på mye rart med fødselsnummer og navn... 1 Lenke til kommentar
Gjest Bruker-182691 Skrevet 10. februar 2015 Del Skrevet 10. februar 2015 Jeg ville gjort helt motsatt imo, jeg ville gått frem med at jeg var it interessert og fant et sikkerhetshull. Hvis du fant det, betyr det at andre kan finne det. Andre som kan finne på mye rart med fødselsnummer og navn... Hehe, husker engang hvor vi fant brukernavn og passord til alle pcene på skolen i klartekst.. Lenke til kommentar
Malvado Skrevet 10. februar 2015 Del Skrevet 10. februar 2015 (endret) Det her er definitivt et sikkerhetshull og samtlige oppegående mennesker som jobber innenfor IT bransjen vil som regel takke for at vanlige brukere har funnet og sagt ifra. At du har oppdaget det betyr jo i praksis (med mindre du har helt eksepsjonelle data-egenskaper) at mange andre også kan ha funnet det. Du vet heller ikke om skolen overvåker tilgang til IT systemene sine og kan i verste fall ha sett hva du har gjort og dermed kan vurdere en sak mot deg , sånn sett vil jeg selv si at det er lurt å si ifra om hva som har skjedd og framgangsmåten for at du skulle komme deg inn. Prøver skolen seg derimot på å lage krøll tar du saken videre og tar kontakt med skolevesenet og media for å løse saken fortest mulig. Endret 10. februar 2015 av Malvado 1 Lenke til kommentar
Snylter Skrevet 10. februar 2015 Del Skrevet 10. februar 2015 Dersom du ikke ønsker å varsle skolen direkte og med fullt navn kan du jo opprette en gmail-konto med fiktivt navn, og sende mail derfra (ikke mens du sitter på skolen, og fra en enhet som aldri er koblet til skolens nettverk) Jeg ville tatt med deler av innholdet i en av filene, men da sensurert bort all sensitiv informasjon. Lenke til kommentar
muthalova Skrevet 11. februar 2015 Del Skrevet 11. februar 2015 Heisan Jeg jobber i IKT-Tjenesten på en skole. Jeg vet ikke hvilken skole du går på, eller hvordan ting er satt opp der, men det er Norsk lov som gjelder der også antar jeg Jeg kan gi svar på dette, men for å svare 100% sikkert er det en ting jeg MÅ vite: Nøyaktig hvordan gikk du fram for å få tilgang til serveren? Dette er avgjørende for å vite om du har brutt Norsk lov eller ikke. Lenke til kommentar
Spaceserver Skrevet 13. februar 2015 Forfatter Del Skrevet 13. februar 2015 (endret) Heisan Jeg jobber i IKT-Tjenesten på en skole. Jeg vet ikke hvilken skole du går på, eller hvordan ting er satt opp der, men det er Norsk lov som gjelder der også antar jeg Jeg kan gi svar på dette, men for å svare 100% sikkert er det en ting jeg MÅ vite: Nøyaktig hvordan gikk du fram for å få tilgang til serveren? Dette er avgjørende for å vite om du har brutt Norsk lov eller ikke. 1. Åpnet Active Directory under nettverk på skole pc`n. Fikk opp 99 servere som var tilkoblet domenet. 2. Pinge servernavnet i cmd for å finne ip adresse. 3. Installere et portabelt program med Avanced ip scanner. 4. Skrive inn server subnettet og søke opp serverene. 5. Prøve og åpne delte mapper på serveren. 6. Fikk åpnet noen av mappene og kopierte Oppad "databasen" som inneholdt blandt anna personnummere til OneDrive business. 7. Lastet ned databasen på pc`n hjemme. I dag fortalte min lærer at IKT-avdelinga hadde sperret brukeren min og kanskje vurderte politianmeldelse. Jeg tror de hadde lest loggene. Endret 13. februar 2015 av Spaceserver 3 Lenke til kommentar
Gjest Bruker-182691 Skrevet 13. februar 2015 Del Skrevet 13. februar 2015 (endret) lol, politiet kommer nok til å henlegge. det er jo bare en tullesak, men det kan jo hende at du blir utestengt fra å skolenettet på livsstid, det er derfor man alltid bruker en annen sin account eller spoofer macen Endret 13. februar 2015 av Bruker-182691 Lenke til kommentar
j-- Skrevet 13. februar 2015 Del Skrevet 13. februar 2015 (endret) Så du har kun åpnet en delt nettverksressurs på skolenettet? Det er ikke cracking. Å scanne etter åpne porter, og koble til de, er ikke cracking. Den som eventuelt har gjort noe ulovlig er IT-avdelinga på skolen, som lar personnummere ligge fritt tilgjengelig for elever på skolens nettverk. Ikke deg. Endret 13. februar 2015 av j-- 4 Lenke til kommentar
ilpostino Skrevet 13. februar 2015 Del Skrevet 13. februar 2015 Den som eventuelt har gjort noe ulovlig er IT-avdelinga på skolen, som lar personnummere ligge fritt tilgjengelig for elever på skolens nettverk. Ikke deg. Får datatilsynet tips om dette ser jeg for meg de kan bli litt grinete. 7 Lenke til kommentar
deac Skrevet 13. februar 2015 Del Skrevet 13. februar 2015 Tror tabben du potensielt har gjort er at du har tatt kopi av dataene du fant. Bortsett fra det kan jeg ikke se at du har gjort som skal tilsi at du kan straffes etter norsk lov. Tror nok som han over meg her at datatilsynet er svært interessert i denne saken. 4 Lenke til kommentar
conundrum Skrevet 13. februar 2015 Del Skrevet 13. februar 2015 Heisan Jeg jobber i IKT-Tjenesten på en skole. Jeg vet ikke hvilken skole du går på, eller hvordan ting er satt opp der, men det er Norsk lov som gjelder der også antar jeg Jeg kan gi svar på dette, men for å svare 100% sikkert er det en ting jeg MÅ vite: Nøyaktig hvordan gikk du fram for å få tilgang til serveren? Dette er avgjørende for å vite om du har brutt Norsk lov eller ikke. Det står i hovedinnlegget hva han gjorde: Han gikk inn på en delt mappe og fant noen usikrede filer. Det er helt irrelevant hvordan han gjorde dette (via kommandolinjen, utforsker, "Åpne"-dialogen i Microsoft Word etc. etc), for poenget er at mappen var delt og usikret. Det man kan konstatere umiddelbart, er at det foreligger et lovbrudd, nærmere bestemt brudd på forskrifter om sikring av persondata, og det er den aktuelle skolen som har gjort seg skyldig i dette. Siden du jobber med IKT tilknyttet en skole, regner jeg med at du kjenner godt til hvilke regler jeg sikter til. Lenke til kommentar
Icetears Skrevet 16. februar 2015 Del Skrevet 16. februar 2015 Så du har kun åpnet en delt nettverksressurs på skolenettet? Det er ikke cracking. Å scanne etter åpne porter, og koble til de, er ikke cracking. Den som eventuelt har gjort noe ulovlig er IT-avdelinga på skolen, som lar personnummere ligge fritt tilgjengelig for elever på skolens nettverk. Ikke deg. Men alikevel hadde ikke han som elev noe der å gjøre, jeg er enig i at det burde vært beskyttet mer, men alt i alt så skal han ikke være der. :-) Lenke til kommentar
j-- Skrevet 16. februar 2015 Del Skrevet 16. februar 2015 Så du har kun åpnet en delt nettverksressurs på skolenettet? Det er ikke cracking. Å scanne etter åpne porter, og koble til de, er ikke cracking. Den som eventuelt har gjort noe ulovlig er IT-avdelinga på skolen, som lar personnummere ligge fritt tilgjengelig for elever på skolens nettverk. Ikke deg. Men alikevel hadde ikke han som elev noe der å gjøre, jeg er enig i at det burde vært beskyttet mer, men alt i alt så skal han ikke være der. :-) Ingenting galt i å skrive en adresse i nettleser/filutforsker, og se hva som dukker opp. Om det ikke var ment for offentligheten skulle det ikke vært lagt åpent på lokalnettet. Ikke like greit å ta det som ligger der og laste ned, men det går vel mer på det moralske planet. Tror den Inkompetente IT-avdelinga forsøker å komme seg unna eventuelle reprisalier fra Datatilsynet ved å anmelde/true med anmeldelse. Jeg synes alikevell du skal melde ifra til Datatilsynet, Trådstarter, da dette burde frem i lyset. 2 Lenke til kommentar
ilpostino Skrevet 16. februar 2015 Del Skrevet 16. februar 2015 Men alikevel hadde ikke han som elev noe der å gjøre, jeg er enig i at det burde vært beskyttet mer, men alt i alt så skal han ikke være der. :-) Blir man "hacket" så kan man ikke unnskylde seg med "ja men, du har jo ikke noe der å gjøre". Det er de som drifter systemet som er ansvarlige for å hindre uautorisert adgang til sine systemer. 1 Lenke til kommentar
blured Skrevet 16. februar 2015 Del Skrevet 16. februar 2015 I dag fortalte min lærer at IKT-avdelinga hadde sperret brukeren min og kanskje vurderte politianmeldelse. Jeg tror de hadde lest loggene. Nå som det er ny uke: Har de gått videre med det, eller har du ikke hørt noe mer? Lenke til kommentar
Spaceserver Skrevet 16. februar 2015 Forfatter Del Skrevet 16. februar 2015 I dag fortalte min lærer at IKT-avdelinga hadde sperret brukeren min og kanskje vurderte politianmeldelse. Jeg tror de hadde lest loggene. Nå som det er ny uke: Har de gått videre med det, eller har du ikke hørt noe mer? Hei blured! jeg har ikke hørt noen ting fra lærer eller IKT men oppdaget at OneDrive og it`s learning fungerte hjemme har ikke fått sjekket skolepc. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå