SarahG Skrevet 10. april 2019 Del Skrevet 10. april 2019 Bergen kommune beklager til skoleeleven som varslet om sikkerhetshull 2 Lenke til kommentar
kenerik Skrevet 10. april 2019 Del Skrevet 10. april 2019 Applauderer her jeg sitter å leser. Fantastisk å veldig bra! Takk til alle dere der ute, som har delt saken å gitt deres utrykk i sosiale medier. Uten dere hadde dette aldri blitt en sak. Veldig bra at Bergen kommune endelig fikk ryddet opp. Skal ikke hakke på prosessen, for det viktigste er at man kommer riktig ut. 7 Lenke til kommentar
TerjeN Skrevet 10. april 2019 Del Skrevet 10. april 2019 Hadde vært flau om eg jobba innenfor Bergen Kommune av denne saken her, synes ansvarlige burde gå, finne seg noe annet å gjøre på enn å ta viktige avgjørelser. Lenke til kommentar
0laf Skrevet 10. april 2019 Del Skrevet 10. april 2019 Hmm, trettenåring stjeler tusenvis av passord til eFeide-løsningen, bruker de til å sende e-poster hvor han utgir seg for å være rektor for en skole ... premieres med gratis datautstyr og rundtur i kommunens IT-avdeling. Første russeren som knekker hele systemet til e-tjenesten bør umiddelbart krones til president i Kongeriket Noreg, med påfølgende rosetog. 4 Lenke til kommentar
missi Skrevet 10. april 2019 Del Skrevet 10. april 2019 Endelig! Men, utstyret må slettes med sikler sletting før det eventuelt leveres tilbake. Så håper jeg at alle organisasjoner nå forstår at sikkerhetsbrist er noe en setter seg ned sammen med varsler om og sørger for at rett ansvarlig blir underrette umiddelbart. Videre så applauderer en varsleren for å varsle. 1 Lenke til kommentar
MariusJS Skrevet 10. april 2019 Del Skrevet 10. april 2019 Hmm, trettenåring stjeler tusenvis av passord til eFeide-løsningen, bruker de til å sende e-poster hvor han utgir seg for å være rektor for en skole ... premieres med gratis datautstyr og rundtur i kommunens IT-avdeling. Første russeren som knekker hele systemet til e-tjenesten bør umiddelbart krones til president i Kongeriket Noreg, med påfølgende rosetog. Du glemmer biten hvor han først prøvde å advare dem, men ble ignorert... 5 Lenke til kommentar
0laf Skrevet 10. april 2019 Del Skrevet 10. april 2019 Du glemmer biten hvor han først prøvde å advare dem, men ble ignorert... Dersom jeg gir banken min opplysninger om en sikkerhetsfeil, og jeg deretter raner banken ved å utnytte nevnte sikkerhetsfeil, er jeg da uskyldig fordi banken ikke tok advarselen min på alvor? 5 Lenke til kommentar
G Skrevet 10. april 2019 Del Skrevet 10. april 2019 (endret) Man kan jo forstå at politiet ihvertfall blir involvert, eller blir involvert i et tvilstilfelle ja (om at hacker er ondsinnet eller av det gode slaget). Dette viser nok en gang mentaliteten når folk med makt (her skolevesenet og kommune) blir tatt på sengen, med informasjon om svakheter i systemet. Har Æ-app-saken friskt i minne også her, om enkeltes arroganse. Hadde eleven vært sleip, så kunne han heller holdt kjeft og solgt (for gode penger) kunnskapen om sikkerhetsbristen til "kineserne, nord-koreanerne, russerne, iranerne, ISIS ..) Da hadde ihvertfall media fått mer å skrive om framover, foran det å dikte opp nye sammensvergelser for å få solgt aviser. Endret 10. april 2019 av G Lenke til kommentar
Redaktør Skrevet 10. april 2019 Del Skrevet 10. april 2019 Du glemmer biten hvor han først prøvde å advare dem, men ble ignorert... Dersom jeg gir banken min opplysninger om en sikkerhetsfeil, og jeg deretter raner banken ved å utnytte nevnte sikkerhetsfeil, er jeg da uskyldig fordi banken ikke tok advarselen min på alvor? Gutten har ikke tilranet seg noe som helst for personlig vinning. En bedre analogi ville vært at noen oppdaget at bankens kundeinfo lå åpent. Gjentatte forsøk på å varsle blir så ignorert. Som en siste utvei sender vedkommende en e-post fra banksjefens konto for å advare. 2 Lenke til kommentar
0laf Skrevet 10. april 2019 Del Skrevet 10. april 2019 En bedre analogi ville vært at noen oppdaget at bankens kundeinfo lå åpent. Gjentatte forsøk på å varsle blir så ignorert. Som en siste utvei sender vedkommende en e-post fra banksjefens konto for å advare. ... etter å ha lastet ned personlig informasjon om 35000 kunder i banken .... tviler på at det blir gratulasjoner fra banksjefen og omvisning i IT-avdelingen? Jeg forstår at det er litt artig at en trettenåring liksom har oppdaget sårbarheter i skolens datasystemer, og at skolen ikke har tatt det alvorlig. Hadde det dog vært en voksen person i noen som helst annen sammenheng, som stjal brukernavn og passord til en slik lukket tjeneste, og utga seg for å være noen andre, så er jo dette utvilsomt ulovlig og et innbrudd. Det er nå en gang slik at dataenes sikkerhet egentlig er irrelevant, det samme om det på forhånd er varslet om manglende sikkerhet, det er uberettiget tilgang til data man burde forstått man ikke skulle hatt tilgang til, som er forbudt, og kan straffes med 6 måneders fengsel, og inntil 2 års fengsel dersom man forvolder skade, slik som å utgi seg for å være rektor i e-poster hvor det rakkes ned på datasikkerheten. Nå er denne gjerningspersonen under 15 år, slik at han straffes ikke med fengsel, men at man synes det er greit å premiere slik oppførsel med skryt og støtteerklæringer, forstår ikke jeg, hadde det vært Vladimir på 38 år fra Novosibirsk som sendte e-poster som rektor ville det neppe vanket gratis datautstyr og omvisninger i kommunens IT-avdeling. 5 Lenke til kommentar
Sandormen Skrevet 11. april 2019 Del Skrevet 11. april 2019 Applaus fra meg også. Lenke til kommentar
G Skrevet 11. april 2019 Del Skrevet 11. april 2019 (endret) Nå er denne gjerningspersonen under 15 år, slik at han straffes ikke med fengsel, men at man synes det er greit å premiere slik oppførsel med skryt og støtteerklæringer, forstår ikke jeg, hadde det vært Vladimir på 38 år fra Novosibirsk som sendte e-poster som rektor ville det neppe vanket gratis datautstyr og omvisninger i kommunens IT-avdeling. Jeg forstår usikkerheten rundt temaet. Men jeg synes det er veldig ensidig negativt av deg det du skriver her. Nå finnes det jo kriminelle som er dypt plantet i bedrifter allerede, de har bare ikke turt å stikke til seg lavthengende frukt enda, fordi de er på jakt etter noe bedre betalende mellomhengende frukt naturligvis. Dette er vel så tikkende bomber for bedrifter som denne hackingen egentlig hvem som helst som er datakyndig kunne tenkes å begi seg i med, siden man snakker om tilgjengelighet fra internettet. Det som er tilgjengelig i fra internett bør ansees for å være usikret. Selv om det oppfattes som sikkert der og da. Se bare til Hydro og den voldsomme prosessen de var igjennom. Se enda verre til Mærsk i Danmark.. Endret 11. april 2019 av G Lenke til kommentar
tHz Skrevet 11. april 2019 Del Skrevet 11. april 2019 Gutten har ikke tilranet seg noe som helst for personlig vinning. Det vet du ingenting om. Han har kopiert brukernavn og passord med tydelig ønske om å ta vare på disse til en senere anledning (lagret på flere harddisker og usb). Du vet ingenting om planene. Kanskje han skulle lekke de på et forum for å få 1337creds, kanskje han skulle lage noen youtube videoer hvor han benyttet seg av de. Kanskje han skulle forsøke å benytte disse passordene for å gå inn på andre systemer til de berørte brukere. Og en ting til. Det er tåpelig å hevde at en 13 åring ikke forstår at å laste ned brukernavn og passord til 35000 personer er ulovlig. Isåfall burde han ikke være i nærheten av en datamaskin. Lenke til kommentar
tHz Skrevet 11. april 2019 Del Skrevet 11. april 2019 ... etter å ha lastet ned personlig informasjon om 35000 kunder i banken .... tviler på at det blir gratulasjoner fra banksjefen og omvisning i IT-avdelingen? Jeg forstår at det er litt artig at en trettenåring liksom har oppdaget sårbarheter i skolens datasystemer, og at skolen ikke har tatt det alvorlig. Hadde det dog vært en voksen person i noen som helst annen sammenheng, som stjal brukernavn og passord til en slik lukket tjeneste, og utga seg for å være noen andre, så er jo dette utvilsomt ulovlig og et innbrudd. Det er nå en gang slik at dataenes sikkerhet egentlig er irrelevant, det samme om det på forhånd er varslet om manglende sikkerhet, det er uberettiget tilgang til data man burde forstått man ikke skulle hatt tilgang til, som er forbudt, og kan straffes med 6 måneders fengsel, og inntil 2 års fengsel dersom man forvolder skade, slik som å utgi seg for å være rektor i e-poster hvor det rakkes ned på datasikkerheten. Nå er denne gjerningspersonen under 15 år, slik at han straffes ikke med fengsel, men at man synes det er greit å premiere slik oppførsel med skryt og støtteerklæringer, forstår ikke jeg, hadde det vært Vladimir på 38 år fra Novosibirsk som sendte e-poster som rektor ville det neppe vanket gratis datautstyr og omvisninger i kommunens IT-avdeling. Helt enig. Det viker som om folk føler de må velge. Enten støtte kommunen eller støtte 13åringen. Begge gjorde noe dumt. Ingen bør premieres. Lenke til kommentar
Oyvind68 Skrevet 11. april 2019 Del Skrevet 11. april 2019 Noen som vet hva dette sikkerhetshullet var, forresten? "Fulgt en mappestruktur i systemet" høres for meg ut som om han bare har bladd i mapper/filer som har ligget på et (litt for) åpent filsystem, og kommet over fil(er) med brukernavn/passord. Lenke til kommentar
0laf Skrevet 11. april 2019 Del Skrevet 11. april 2019 (endret) Noen som vet hva dette sikkerhetshullet var, forresten? ... Det har så vidt jeg har fått med meg ikke fremgått helt klart i mediene hva som har foregått, men det høres jo unektelig ut som nettopp det du skriver, at gutten har kommet over noen mapper som sannsynligvis lå helt åpne, og at det således ikke var noen genistrek eller noe som krevde særlig stor kunnskap. Jeg ville videre anta dette var på en lokal maskin på skolen til gutten, eller på et nettverk gutten hadde tilgang til gjennom skolen, ikke åpent på internett eller noe slikt. Dataene burde selvfølgelig fremdeles ikke vært tilgjengelig for elevene, men det var neppe tilgjengelig for hele verden. Det er vel uansett ingen tvil om at trettenåringen forsto at han ikke burde ha tilgang til dette, han varslet jo om det til skolen, for så å laste ned alle brukernavnene og passordene ulovlig når skolen ikke sikret dataene forsvarlig. Jeg forstår usikkerheten rundt temaet. Men jeg synes det er veldig ensidig negativt av deg det du skriver her. Hva andre kriminelle driver med, er vel i for seg irrelevant for denne saken? Jeg er nok i overkant negativ, men igjen, dette ville vært straffbart og temmelig alvorlig for alle andre enn en trettenåring. Dette er tyveri av brukernavn og passord, og misbruk av data vedkommende helt klart visste han ikke burde hatt tilgang til. At guttens foreldre, folk på internett, og nå kommune og skole, hyller gutten for sin dåd, etter han har stjålet 35000 passord og misbrukt rektors e-post konto, er helt hinsides all fornuft, etter min personlige mening. Endret 11. april 2019 av 0laf Lenke til kommentar
G Skrevet 12. april 2019 Del Skrevet 12. april 2019 Mulig det ikke er ideellt, men så er det likevel nåtidens måte å vekke sløv ledelse i selskaper på da. De har gjerne ikke så mange alternative ruter. Og den der forsvarsrefleksen som man ser f.eks. på Rema1000 er jo bare horribel. Rett til anmeldelse. Folk reagerte jo på Rema1000 måte å håndtere Æ-app -saken på. Da var det ingen fjortis som stod bak funnet heller. Så hvor stor forskjell er det da på fjortishackere og litt eldre hackere her? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå