KMD forklarer hacker-anmeldelse: »Det var naturligt for os at kontakte vedkommendes arbejdsplads«

KMD forklarer, hvorfor man har valgt at anmelde Esben Warming Pedersen, der har fundet et sikkerhedshul i en af virksomhedens systemer.

Direktør i KMD Mette Louise Kaagaard mener, at det er berettiget at politianmelde Esben Warming Pedersen. Det er sket, efter at han har gjort opmærksom på et sikkerhedshul i Frederiksberg Kommunes pladsanvisningssystem, som KMD står bag.

Hos KMD mener man, Esben Warming Pedersen har 'indsat scripts i koden'. Esben Warming Pedersen mener selv, han blot har gjort opmærksom på et sikkerhedshul.

»Jeg automatiserer noget, jeg kunne have gjort i hånden,« har han tidligere forklaret til Version2.

Her forklarer Mette Louise Kaagaard nærmere om baggrunden for politianmeldelsen.

»Vi er blevet kontaktet om sikkerhedshullet. Vi havde fået kontakten fra Frederiksberg Kommune, og så er der dukket en video op fra Danmarks Radio på vores bord den 8 juni. Det, vi kan se, er, at borgeren her ud over at konstatere, at der et sikkerhedshul, så vælger han at gå ind bag systemet og indsætte scripts i koden …«

Han er ikke inde i jeres system - han bruger et ajax-kald?

»Og så sætter han et script ind …«

Scriptet er på hans egen computer, ikke inde i jeres system?

»Via det script får han adgang til flere informationer, end du og jeg ville kunne få adgang til.«

Han kunne stadig putte numre ind manuelt?

»Vi betragter det, der er sket, som hacking, og det er derfor, vi har anmeldt ham til politiet.«

Hans pointe er, at han ikke behøvede noget script, han kunne bare indtaste et, to, tre, fire numre...?

»Det er korrekt, at når man indtaster et gyldigt CPR-nummer i feltet, så kan man få et navn ud.«

Hvorfor ringer I til direktøren i den virksomhed, Netcompany, han arbejder i, og fortæller, at medarbejderen er politianmeldt?

»Det gør vi, fordi vi undrer os over, at denne her person har gjort de her ting. Derfor ringer vi til hans arbejdsplads for at få en dialog, om det er noget, de kender til. Og vi har en fin snak med dem og ikke nogen anledning til at tro, at de har noget med det at gøre.«

Hvis det var en borger, som var ansat i en anden virksomhed end Netcompany, ville I så også have ringet til den arbejdsplads?

»Hvis vi havde held til at finde ud af, hvor vedkommende var ansat, vil jeg ikke afvise, at vi kunne have gjort det. Det var naturligt for os at kontakte vedkommendes arbejdsplads for at høre, om det var noget, de kendte til.«

Så I kontaktede Netcompany for at høre, om de var en del af det påståede hackerangreb?

»Vi er i det her marked sammen, og vi synes, man opfører sig på en måde, hvor vi også selv ville være blevet glade for at få en henvendelse, hvis det var en af vores medarbejdere.«

Hvad vil du gætte på, at Netcompany skulle kunne bruge den oplysning til?

»Jeg vil ikke gætte på noget.«

Jeg forstår stadig ikke helt, hvorfor I ringer til Netcompany?

»Jeg synes, jeg har svaret på spørgsmålet.«

Ville det ikke havde været mere på sin plads at kvittere med en flaske vin til denne person, der finder et sikkerhedshul, der har været der i 12 år, i stedet for at politianmelde vedkommende?

»Vi vil jo rigtig gerne have, at folk kontakter os med fejl og mangler og eventuelle sikkerhedshuller. Så det tager vi rigtigt godt imod. Det, der er udfordringen her, er, at den pågældende vælger at gå skridtet videre, ikke bare at anmelde fejlen, men se, om man kan få flere oplysninger end det, systemet lægger op til. Vi synes, der er tale om hacking, og derfor vælger vi at anmelde ham til politiet, men det skal stå klart, at vi vil gerne have henvendelser fra borgere, kunder og andre, der finder fejl og mangler i vores system, så vi kan få det løst.«

Er I ikke bange for, at folk mister lysten til at anmelde den slags fremover?

»Det håber vi ikke. Det har i hvert fald ikke været intentionen på nogen måde,« slutter Mette Louise Kaagaard.