Fandt hul i sikkerheden hos it-kæmpe - nu er han politianmeldt

16x9
I forbindelse med sin barsel fandt Esben Warming en sikkerhedsbrist i et it-system fra konkurrenten KMD, og det koster nu en politianmeldelse fra KMD. Foto: Privat.

En ansat hos Netcompany har under sin barsel afsløret en sikkerhedsbrist hos it-selskabet KMD. Nu er han politianmeldt.

KMD taler usandt, når de politianmelder en ansat hos konkurrenten Netcompany for at hacke deres systemer.

Det siger Esben Warming Pedersen, der er ansat hos Netcompany, efter at landets største it-selskab har politianmeldt ham for hacking af systemet Digital Pladshenvsning.

- Det er lidt gratis at politianmelde mig. De ved godt, hvad der er hacking og ikke hacking, siger han til TV 2.

- Man kan altid politianmelde, og så skal andre afgøre, om der kan rejses en sigtelse. Det er en afledningsmanøvre, der er med til at mistænkeliggøre mig som person og mine hensigter, fortsætter han.

Tænker den er gal

Esben Warming opdager fejlen 17. maj, da han skal finde en institutionsplads til sin søn. På it-løsningen er der et felt, hvor man ved hjælp af CPR-nummer kan slå sin samlever op.

- Da jeg skriver min kærestes CPR-nummer, skriver den hendes navn. Der er der nogle alarmklokker, der ringer hos mig som it-kyndig. Det har hun ikke givet medhold til. Så prøver vi med hendes søsters CPR-nummer, og der sker det samme. Så tænker vi, at den er gal, fortæller Esben Warming Pedersen til TV 2.

De kunne også have anmeldt mig, da de fik af vide, at en borger havde henvendt sig i maj. De politianmelder, da der kommer en pressesag ud af det

Esben Warming. it-konsulent Netcompany

Han fortæller, at han herefter skriver et program, der prøver en masse CPR-numre af. For at tjekke om der er en begrænsning på antallet af søgninger. Det er der ikke.

- Så optager jeg det hele på video og sender til Frederiksberg Kommune 17. maj. De fortæller mig, at de vil kontakte KMD, siger han.

Du tænker ikke, at det må du ikke?

- Nej, overhovedet ikke. Hvis nogen er skurken, så er det KMD, og det gør jeg så opmærksom på. Jeg tænker, at jeg ikke håber, at der er nogen, der finder ud af det før mig.

Ifølge KMD har du åbnet deres programkode?

- Jeg har ikke prøvet at få adgang til programkoden. Knappen var på forsiden - hvorfor skulle jeg kigge på deres kode? Det er en CPR-søgemaskine. Du kan skrive tal ind, og så får du navnet.

Hullet bliver lukket

Dagen efter, den 18. maj, kontakter Esben Warming DR med henblik på at lave en historie om hullet i systemet, der blev leveret for 12 år siden af KMD og bliver brugt af 80 kommuner.

Bristen i systemet er så stor, at det ifølge it-konsulenten er i offentlighedens interesse. 

- Vi aftaler, at jeg ikke vil være med til en historie, før hullet er lukket, siger Esben Warming, der derefter tager på ferie i Italien.

Da han kommer hjem, konstaterer han, at hullet i it-systemet er lukket. Derefter går han i dialog med DR for at lave en historie om KMD's systemfejl, der i praksis har fungeret som en CPR-søgemaskine.

KMD kommer ikke til at gå ind en diskussion med pågældende. Sagen er overgivet til politiet

Christoffer Hellmann, kommunationschef KMD

Overrasket over politianmeldelse

Nogle uger senere finder han ud af, at KMD vil politianmelde ham, efter at de gennem DR har set den video, han selv har lavet for at dokumentere fejlen. Den 13. juni sender it-selskabet et såkaldt kundebrev, hvor selskabet gennemgår forløbet.

I brevet, som du kan finde her, fortæller KMD, at fejlen blev rettet 24. maj, og at Esben Warming er blevet politianmeldt 9. juni for hacking. 

- Vi vurderer, at den pågældende borgers indsættelse af en række forprogrammerede scripts i koden på Digital Pladsanvisning er hacking, skriver KMD, der samtidig beklager sig over, at Esben Warming kontakter medierne.

- KMD havde sat pris på at modtage dokumentationen så tidligt som muligt, og vi synes, det er ærgerligt, at Danmarks Radio har været foretrukket som den primære modtager af videodokumentationen.

Ingen grund til at kontakte KMD direkte

På spørgsmålet om, hvorfor Esben Warming ikke kontaktede KMD direkte, siger han:

- Jeg kontakter Frederiksberg Kommune, som siger, at de kontakter KMD med det samme. Så ser jeg, at hullet er lukket, og så så jeg ingen grund til at kontakte KMD. Der var taget hånd om det.

Det er ikke et gentleman-move. Det minder lidt om afpresning, at gå efter manden

Esben Warming, it-konsulent

KMD's udsagn om, at de ikke kunne finde det hul i systemet, som Esben Warming efter eget udsagn i detaljer har beskrevet for Frederiksberg Kommune, vækker hovedrysten.

- De melder ud, at de ikke kan finde problemet, men søger videre og siger så, at de finder et andet problem, der så sjovt nok også lukker det hul, jeg har fundet. Og så gør de ikke nogen opmærksom på det, siger Esben Warming.

Politianmelder først sent

Han kalder KMD's politianmeldelse en 'distraktionsmanøvre'. Særligt den omstændighed, at KDM kontakter hans arbejdsgiver, efter at de har set videoen.

- Det er ikke et gentleman-move. Det minder lidt om afpresning at gå efter manden. Jeg synes, det er meget mærkeligt, at de bringer min arbejdsgiver ind i det. De kunne også have anmeldt mig, da de fik af vide, at en borger havde henvendt sig i maj. De politianmelder, da der kommer en pressesag ud af det, siger Esben Warming.

Tror ikke anmeldelsen bliver til noget

KMD skriver i brevet til kunderne, at de sætter pris på henvendelser angående mulige sikkerhedsbrister.

Det har Esben Warming svært ved at tage seriøst med tanke på, at han er blevet politianmeldt for at være med til at lukke et hul i KMD's systemer.

- Det er klart, at det er ubehageligt for mig om min familie. Det skaber noget utryghed, selvom jeg ikke tror, at anmeldelsen bliver til noget. Det afskrækker folk fra at henvende sig, siger it-konsulenten, som afviser, at hans handlinger har noget med hans arbejdergiver at gøre.

- Hvis det ikke skulle være folk med it-kendskab, der fandt it-problemer, hvem skulle det så være? Det er irrelevant, at jeg er ansat ved Netcompany.

Afviser at forholde sig til kritik

KMD's kommunikationschef, Christoffer Hellmann, afviser at forholde sig til kritikken fra Esben Warming.

- KMD kommer ikke til at gå ind en diskussion med pågældende. Sagen er overgivet til politiet. Det er nu op til myndighederne at afgøre det videre forløb, skriver han i en mail.

Kommune tilfreds

Hos Frederiksberg Kommune fortæller vicedirektør Thomas Wohlert, at man ikke er klar til at følge op med en politianmeldelse.

- Vi er rigtig ærgerlige over, at der tilsyneladende har været et datahul i systemet, da vi er meget optagede af datasikkerhed. Vi har straks kontaktet KMD, da vi blev opmærksomme på sagen. Vi er tilfredse med, at KMD har taget sagen meget alvorligt, skriver han i en mail til TV 2.

Esben Warmings chef hos Netcompany, André Rafal Rogaczewski, bakker op om sin kollega.

- Hvis det var mig, som var it-leverandør på sådan en løsning, ville jeg sende en gavekurv til ham og sige tak, og så ville jeg i øvrigt rette henvendelse til mine kunder og undskylde for, at der har været et sikkerhedshul, siger han til ITWatch.