'Børnehavehackeren' frifundet i Landsretten

Opdateret kl. 18.25. Efter Henrik Høyer i 2015 blev tiltalt for hærværk og hacking af sin søns børnehaves it-system, kan han nu ånde lettet op. Landsretten frifandt ham i går.

»Jeg er en frikendt mand.«

Det kunne Henrik Høyer lettet konkludere på sin Facebookgruppe, efter Østre Landsret i går tirsdag frifandt ham for en tiltale, der lød på hacking og hærværk.

Sagen, som Version2 tidligere har omtalt, begyndte ved, at Henrik Høyer testede sikkerheden ved et nyt it-system, som hans søns børnehave, Frændehus i Køge, havde anskaffet sig.

Systemet blev leveret af Infoba, og blev i 2015 brugt af samtlige børnehaver i 11 kommuner. Henrik Høyer mente at kunne påvise, at systemet indeholdt adskillige sikkerhedshuller.

Bla. skulle systemet ifølge Henrik Høyer give adgang til til børns personlige oplysninger blot ved at ændre i et id-nummer i adresselinjen i browseren.

Domsresuméet er endnu ikke offentliggjort på domstol.dk, men ifølge Infoba har Landsretten afgjort, at selskabets system indeholdt ét sikkerhedshul og ikke gav adgang til personlige oplysninger.

Kun hacking via Cross Site Scripting, XSS, slap igennem.

Tiltalt for hærværk

Tilbage ved opdagelsen kontaktede Henrik Høyer leverandøren af systemet, Infoba, da han blev bekendt med sikkerhedshullerne.

Infoba mener ikke, der var tale om en henvendelse, der angav sårbarheder.

»Det eneste vi har modtaget fra HH (Henrik Høyer, red.) er en mail om et certifikat, uden relation til de hackingforsøg, han satte ind få minutter efter,« skriver produktchef Torben Væring, Infoba, til Version2.

Selskabet valgte efterfølgende at kontakte politiet som følge af XSS-angrebet, hvilket førte til en tiltale fra Statsanklageren for hacking og hærværk.

Tiltalen blev rejst på baggrund af, at Henrik Høyer ved hjælp af script injection-metoden i systemet sendte en besked til samtlige forældre, hvori der stod »Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket.«

Tilbage i 2015 sagde Infobas produktchef, Torben Væring til Version2, at »Jeg bliver nødt til som it-ansvarlig at tage det seriøst, når vores system bliver hacket,«.

Sagen havde rent principiel karakter, da der i forvejen ikke var præcedens fra lignende sager. Derfor vil mange nok glæde sig over, at Henrik Høyer er frifundet.

Anklagemyndigheden havde krævet Henrik Høyer fængslet i 10 dage, men det krav var dommerne i Landsretten altså ikke enige i.

»Det betyder, at de ikke mener, at det jeg gjorde var ulovligt. Det betyder, at jeg og andre kan gøre det samme igen - vi kan råbe vagt i gevær, når vi ser problemer med it-systemer,« siger Henrik Høyer i en video på Facebook.

Det fulde referat af dommen - og dermed en detaljeret begrundelse for frikendelsen - bliver formentlig først offentliggjort om nogle dage.

I første omgang blev Henrik Høyer kendt skyldig i byretten i Roskilde, men Øster Landsret har nu altså valgt at frifinde ham. Afgørelsen betyder også, at Henrik Høyer ikke skal betale en bøde på omkring 50.000 kroner, som byretten ellers havde tildelt ham.

Opdateret 16:50 med citat fra Henrik Høyer.

Opdateret kl. 18.25 med detaljer fra Landsrettens afgørelse.