Gå til innhold

Mann frifunnet for data­innbrudd hos Vegvesenet


Anbefalte innlegg

Videoannonse
Annonse
29 minutes ago, TheBoz said:

Skjønner jeg det riktig at han har laget et script og ikke brukt det?

Han har laget ett skript som henter ut informasjon Vegvesenet har gjort offentlig tilgjengelig.

edit: og ja, han har brukt det heller enn å sitte og laste ned tusenvis med sider

Endret av J!nx
Lenke til kommentar

Jeg skulle vel også vært buret inne for å ha brukt aktiv scraper på pakksporing hos Posten for å sjekke om kundene har hentet utstyret sitt som ble sendt. Minner meg litt om skole-ungdommene som skulle anmeldes til politiet av rektor fordi de brukte det farlige rusmiddelet PHP (et script-språk).

  • Liker 3
Lenke til kommentar

Etter å ha lest dommen, sitter jeg igjen med følgende inntrykk:

De dataene som ble "stjålet" her er i utgangspunktet å regne som offentlige data. (kobling mellom navn og registreringsnummer på bil - skal det være offentlig tilgjengelig? Det er jo litt avveining mellom personvernslover og offentlighetsloven her? Dataene er tilgjengelig for allmennheten gjennom en SMS-tjeneste står det, betyr det at man må betale penger (og ha mobiltelefon) for å få tilgang? Dataene er også tilgjengelig manuelt dersom man skriver en epost og ber om å få opplysningene?)

Etaten ønsket betalt for å tilby mannen et API. Det har de vel muligens rett til, men bare dersom det koster penger for etaten å utvikle og drifte et slikt API? Mannen ønsket ikke å betale / hadde ikke råd til å betale / forretningsmodellen var ikke forenelig med betaling pr oppslag (stryk det som ikke passer?)

Mannen kunne logge inn i et webgrensesnitt og kunne enkelt få ut opplysningene han ønsket mens han var innlogget. Riktignok var det ingen navigeringsfunksjonalitet i webgrensesnittet for å finne opplysningene, men informasjonen var åpent tilgjengelig dersom man gjettet seg til riktig URL. Etaten hadde altså et åpent tilgjengelig grensesnitt for å hente ut dataene, men visste ikke om det selv.

Mannen er helt åpen på at han har fått tak i dataene, og også hvordan han fikk tak i dem, og var av den oppriktige oppfatning at han ikke hadde gjort noe galt. Noen i etaten fikk imidlertid panikk, mente at dette var et alvorlig sikkerhetshull og at mannen gjorde seg skyldig i alvorlig kriminalitet. Dette medførte politiaksjon med beslag i datautstyr! (dét er et ganske så voldsomt inngrep, både i privatliv, samt at det kan sette ham veldig tilbake dersom han driver med forretningsutvikling).

Dersom alt over stemmer, så burde det ikke være rom for tvil om at mannen er uskyldig, og jeg synes det er underlig bruk av ressurser, samt et overgrep å gå til husransakelse og beslaglegging av IT-utstyr. Rart at tingretten har konkludert anderledes.

Jeg kan skjønne at det er straffbart dersom jeg "bryter meg inn" ved å utnytte sårbarheter i programvare, får tilgang til systemer hvor jeg åpenbart ikke skulle hatt tilgang, selv om jeg bare henter ut offentlig tilgjengelig informasjon. Denne mannen har imidlertid hentet ut offentlig tilgjengelig informasjon fra offentlig tilgjengelige URL'er, som noen på etaten egentlig ikke hadde noe ønske om at skulle være åpent tilgjengelig. Det virker jo faktisk som at noen aktivt jobber mot offentlighetslovens intensjoner og ønsker at informasjonen skal være minst mulig tilgjengelig.

 

Endret av tobixen
  • Liker 4
  • Innsiktsfullt 2
Lenke til kommentar
Memento scientiam skrev (9 timer siden):

Aldri hørt om. Er dette en faktisk hendelse? Fins det noen avisartikler om det? Gjorde noen enkle søk, men fant ikke noe nå. 

Det kan kanskje kokes ned til ‘en myte’, men joda, jeg har også hørt om den historien.

Det er (nesten) fra den tiden hvor det hang et spanskrør ved siden av tavla på skolen som et passivt(...) disiplineringsmiddel.

Det er fra den tida man ble tuktet om man vågede å stikke en 5.25 tommer floppy inn i datamaskinen før undervisninga starta, og læreren gav grønt lys.

På den tiden man skulle lære computeren til å skrive ‘Hallo verden!’ på skjermen (Når timen var over hadde man programmert et helt sjakk-spill som bippa og tuta hver gang man gjorde et trekk, samtidig som den faktisk skreiv Hallo Verden! nederst på skjermbildet.

Ahh, minner...

Lenke til kommentar
On 10/31/2020 at 4:09 AM, Memento scientiam said:

Aldri hørt om. Er dette en faktisk hendelse? Fins det noen avisartikler om det? Gjorde noen enkle søk, men fant ikke noe nå. 

Prøvde å finne saken igjen, men fant ikke noe. Mener det skjedde i England for en del år siden.

Lenke til kommentar
tobixen skrev (På 30.10.2020 den 17.03):

Etaten ønsket betalt for å tilby mannen et API. Det har de vel muligens rett til, men bare dersom det koster penger for etaten å utvikle og drifte et slikt API? Mannen ønsket ikke å betale / hadde ikke råd til å betale / forretningsmodellen var ikke forenelig med betaling pr oppslag (stryk det som ikke passer?)

Det er vel hevet over tvil at det vil koste å utvikle og drifte et API, men all den tid det ikke tilbys noe API så er det vel ikke så relevant hva etaten går rundt å drømmer om. 

Jeg gjorde noe lignende med Gule Sider for lenge siden (skulle markedsføre tjenester mot bedrifter), og fikk ganske snart telefon fra en hyggelig pensjonert politimann som var ansatt til å snakke sånne som meg til rette. Argumentet var vel noe sånt som at selv om alle kan gjøre gratis oppslag mot Gule Sider var sammenstillingen av all informasjonen der dekket av opphavsretten og det ville være et brudd å laste ned større deler av dette på en gang. Vet ikke om det ville holdt i en rettssal, men følte ikke sterkt for å finne ut av det. 

Jeg syns landskapet er ganske uoversiktelig, med en blanding av private og offentlige aktører som forvalter det vi må kunne kalle offentlig informasjon, som dommene i Lovdata, kjøretøyregisteret til Vegvesenet osv. I tillegg ser man, som her, ganske sprikende tolkninger av hva som er lov og hva som ikke er lov. 

Hva motivet bak her for å anmelde egentlig er, forstår jeg ikke. Avgiften på sms-tjenesten kan vanskelig dekke noe særlig mer enn driften. Den gir imidlertid muligheten til å holde oversikt over hvem som aksesserer hvilke data, noe som kanskje er ønskelig iom. at det dreier seg om personopplysninger.

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...