Dom faldet i kontroversiel børnehave-hackersag

OPDATERET. En familiefar hackede børnehaves IT-løsning for at gøre opmærksom på sikkerhedshul. Systemudvikleren Infoba meldte ham til politiet, hvilket førte til retssagen. I dag faldt dommen: Skyldig.

I dag faldt dommen over Henrik Høyer – familiefar og softwareudvikler, der gjorde opmærksom på et sikkerhedshul i sin søns børnehaves IT-system ved selv at hacke det.

Han blev kendt skyldig i hacking og fik den mindste straf mulig på 10 dagbøder, men uskyldig i at have ødelagt data.

»Jeg mener, at det er fuldstændig unfair, og det er et stort problem, at netop en som mig, der gør opmærksom på en sikkerhedsfejl, og som har kontaktet kommunen, får et rap over nallerne for det,« siger Henrik Høyer til Version2.

Sikkerhedshullet i it-huset Infobas system tillod cross-site scripting, hvilket Henrik Høyer udnyttede til at skrive en Javascript pop-up boks, hvor i der stod ’Ring til Infoba og sig, at jeres nye intranetløsning er blevet hacket’.

Vakkelvornt IT-system holdt sammen af gaffa

Infoba og Henrik Høyer har forskellige opfattelser af, hvorvidt han havde gjort selskabet opmærksom på sikkerhedshullet, inden han udnyttede det. Det fremgår af Version2’s tidligere dækning af sagen, som også viste, at andre forældre også havde fundet svagheder i børnehavens IT-system. Et system, der bliver anvendt i flere kommuner.

Infoba afviser, at Henrik Høyer kontaktede kommunen.

»Det gjorde han ikke. Han kontaktede heller ikke børnehaven. Han gik blot i gang med at hacke sig adgang til systemet,« skriver kommunikationsmedarbejder, Mathias Kupiec, Infoba, i en e-mail til Version2.

»Det ligner noget, der er holdt sammen med gaffatape,« sagde forælder Christian Liljedahl dengang til Version2, efter han blandt andet fandt ud af, at man med en lille rettelse i URL’en nemt kunne se andre børns personlige sider og oplysninger.

Siden Version2 dengang bragte historien, har Henrik Høyer fået flere henvendelser fra både IT-folk og forældre, der ifølge ham selv alle har været positive.

»Jeg har kun mødt opbakning og har fået et hav af henvendelser fra folk med børn i børnehaver på Facebook,« siger Henrik Høyer og fortsætter om de mails han har fået fra IT- og jurasagkyndige:

»De tekniske siger, at det kan skabe præcedens for, at man ikke tør råbe vagt i gevær og andre er fortørnet over, at man ikke går efter dem der har personfølsomme oplysninger liggende helt tilgængeligt.«

Han selv er af samme opfattelse og kommenterer:

»Det burde være dem, (red. Infoba) de sad på bænken.«

Infoba har fortalt i retten, at de har lappet sikkerhedshullerne, som Henrik Høyer fandt, samt tjekket for yderligere brister. Årsagen til de meldte sagen til politiet var, at de blev ’nødt til at tage hacking alvorligt’.

Mathias Kupiec afviser samtidig, at selskabet har personfølsomme oplysninger liggende helt tilfældigt.

»Henrik Høyer forsøgte at hacke sig vej til disse oplysninger. Det lykkedes ikke, da vi har bygget ualmindelig høje mure omkring personfølsomme oplysninger. Sikkerhedsbristen var banal og bestod udelukkende i, at han kunne sætte pop-up beskeden op.«

Håber at turde gøre det igen

Dommen har mærket Henrik Høyers lyst til hacking i god mening fremadrettet.

»Jeg vil tænke mig om næste gang og lige overveje, om jeg turde gøre det. Det håber jeg, at jeg ville turde. Den her straf blev et offer for, at de gør noget ved det, og de tog det seriøst,« siger han.

I øjeblikket har han fået betænkningstid og overvejer, om han skal anke sagen.

»Den er principiel og den første af sin slags i Danmark,« forklarer Henrik Høyer.

Artiklen er opdateret lørdag kl. 8.33 med kommentar fra Infoba. Desuden har vi præciseret at Infoba meldte sagen til politiet, hvorefter sagen blev rejst af den offentlige anklager.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.