Hacket skolen, konsekvenser?

[K N]

Nei, du hadde ikke noe der inne å gjøre.. men viktig å være nysgjerrig! De er sikkert furt over at de ikke har hatt god nok sikkerhet i nettverket sitt ved å beskytte det som skal beskyttes.

 

Dog ser de nok litt positivt på det og, for slik informasjon skal ikke ut! Så nå har de sikkert tettet hullet :-)

Er spent på oppdatering i denne saken, men blir nok ingen big deal :-)

[Rigmor Ortiz]

Tipper det ikke blir noe stor greie ut av. Om 10 år når du er dataingeniør kommer du til å se tilbake på det her som bare god trening

[muthalova]

 

Heisan

 

Jeg jobber i IKT-Tjenesten på en skole.

 

Jeg vet ikke hvilken skole du går på, eller hvordan ting er satt opp der, men det er Norsk lov som gjelder der også antar jeg

Jeg kan gi svar på dette, men for å svare 100% sikkert er det en ting jeg MÅ vite:

 

 

Nøyaktig hvordan gikk du fram for å få tilgang til serveren?

 

Dette er avgjørende for å vite om du har brutt Norsk lov eller ikke.

1. Åpnet Active Directory under nettverk på skole pc`n. Fikk opp 99 servere som var tilkoblet domenet.

2. Pinge servernavnet i cmd for å finne ip adresse.

3. Installere et portabelt program med Avanced ip scanner.

4. Skrive inn server subnettet og søke opp serverene.

5. Prøve og åpne delte mapper på serveren.

6. Fikk åpnet noen av mappene og kopierte Oppad "databasen" som inneholdt blandt anna personnummere til OneDrive business.

7. Lastet ned databasen på pc`n hjemme.

I dag fortalte min lærer at IKT-avdelinga hadde sperret brukeren min og kanskje vurderte politianmeldelse. Jeg tror de hadde lest loggene.

 

Så lenge du ikke har brute-forcet eller på andre måter lurt deg inn på passordbeskyttet område, kan du bare svare med disse tre punktene:

• Dersom dette får følger for meg, vil jeg kontakte myndighetene og fortelle hvor dårlig sikkerhet denne skolen har på sensitiv informasjon om brukere.

• Jeg vil da også overlevere kopier av filene jeg fant liggende helt åpent på serveren deres.

• Såvidt jeg vet er så dårlig sikkerhet på slike data et lovbrudd, og dette vli da resultere i heftige konsekvenser for dere også.

Lykke til

[muthalova]

 

Heisan

 

Jeg jobber i IKT-Tjenesten på en skole.

 

Jeg vet ikke hvilken skole du går på, eller hvordan ting er satt opp der, men det er Norsk lov som gjelder der også antar jeg

Jeg kan gi svar på dette, men for å svare 100% sikkert er det en ting jeg MÅ vite:

 

 

Nøyaktig hvordan gikk du fram for å få tilgang til serveren?

 

Dette er avgjørende for å vite om du har brutt Norsk lov eller ikke.

 

Det står i hovedinnlegget hva han gjorde: Han gikk inn på en delt mappe og fant noen usikrede filer. Det er helt irrelevant hvordan han gjorde dette (via kommandolinjen, utforsker, "Åpne"-dialogen i Microsoft Word etc. etc), for poenget er at mappen var delt og usikret.

 

Det man kan konstatere umiddelbart, er at det foreligger et lovbrudd, nærmere bestemt brudd på forskrifter om sikring av persondata, og det er den aktuelle skolen som har gjort seg skyldig i dette. Siden du jobber med IKT tilknyttet en skole, regner jeg med at du kjenner godt til hvilke regler jeg sikter til.

 

Hele forskjellen i denne saken ligger i om området han gikk inn på var passordbeskyttet eller ikke, dette kom ikke fram av hverken det første innlegget, eller forklaringen etterpå.

[muthalova]

 

Så du har kun åpnet en delt nettverksressurs på skolenettet? Det er ikke cracking. Å scanne etter åpne porter, og koble til de, er ikke cracking. Den som eventuelt har gjort noe ulovlig er IT-avdelinga på skolen, som lar personnummere ligge fritt tilgjengelig for elever på skolens nettverk. Ikke deg.

 

Men alikevel hadde ikke han som elev noe der å gjøre, jeg er enig i at det burde vært beskyttet mer, men alt i alt så skal han ikke være der. :-)

 

Om han hadde noe der å gjøre er irrelevant. Hvis personnumre ligger så dårlig beskyttet, er det noen som bør få sparken!

[*F*]

Skulle alle som gjøre en feil en gang eller to i løpet av arbeidskarrièren fått sparken hadde 95% av befolkningen gått på NAV.

 

Det høres nå ut som sikringen ikke var tilstrekkelig, men folk har en tendens til å tro at det er mye mer greit å ta seg forbi tekniske sperringer enn fysiske sperringer.

 

Hadde du labbet inn på kontoret til rektor for å se i permene hennes bare for at døren ikke var låst? Det blir egentlig det samme.

[Horrorbyte]

 

• Dersom dette får følger for meg, vil jeg kontakte myndighetene og fortelle hvor dårlig sikkerhet denne skolen har på sensitiv informasjon om brukere.

Hvilket grunnlag har du for å kalle dette for sensitiv informasjon? Trådstarter har skrevet at det er snakk om «navn, telefonnummer, adresse og personnummer», og ingen av delene er regnet som sensitive personopplysninger. Dette reguleres nemlig av personopplysningsloven, som lyder slik:

 

 

 

 

sensitive personopplysninger: opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger.

Endret 17. februar 2015 av Horrorbyte

[muthalova]

Komplett personnr (11 siffer) er ikke noe hvem som helst bør få tilgang til. Det kan i ytterste konsekvens være nok til identitetstyveri iom at mange offentlige kontorer kun krever dette opplest over telefon som legitimasjon, og kan da utlevere nesten alt annet de har av info.