Blev sigtet for hacking, da hans barn skulle i institution – nu er han renset

16x9
Esben Warming Pedersen er i dag ansat som it-professionel i Nordea, men sagen har været hård for ham, fortæller han. Foto: Privatfoto

It-virksomheden KMD skriver i en mail, at den tager beslutningen til efterretning, og at den fortsat gerne hører om sikkerhedshuller.

I maj 2017 var Esben Warming Pedersen på barsel og søgte institutionsplads til sin søn. Her fandt han et sikkerhedshul, der gjorde det muligt at fremsøge cpr-numre på andre borgere.

Esben Warming Pedersen fortalte det til kommunen, men i stedet for en gavekurv fik han en politianmeldelse om hacking fra virksomheden bag systemet, it- og softwarevirksomheden KMD.

Nu, mere end to år efter, er der faldet en afgørelse: sigtelsen er frafaldet, og han er renset.

- Jeg er glad og lettet over, at de har droppet sigtelsen. Jeg har da været nervøs. Ikke fordi jeg selv var i tvivl. Men jura er én ting, fornuft er noget andet, siger Esben Warming Pedersen til TV 2.

Esben Warming Pedersens advokat, David Neutzsky-Wulff, og KMD bekræfter frafaldelsen overfor TV 2.

Optog brist på video

Sagen tog sin begyndelse, da Esben Warming Pedersen 17. maj 2017 skulle finde institutionsplads til sin søn. På Frederiksberg Kommunes hjemmeside benyttede han sig af systemet Digital Pladshenvisning.

Her skrev han først sin kærestes cpr-nummer, og uden han skulle gøre mere, skrev den hendes navn. Det samme skete, da han forsøgte med flere familiemedlemmer. Ingen af dem havde givet samtykke.

Det var vores opfattelse, at Esben Warmings metode til at gøre opmærksom på et sikkerhedshul, hverken var lovlig eller på linje med god praksis

Christoffer Hellmann, kommunikationschef KMD

Da Esben Warming Pedersen er it-uddannet, ringede alarmklokkerne.

Han prøvede en masse cpr-numre og optog det hele på en video, som han sendte til Frederiksberg Kommune, der orienterede om, at de ville kontakte KMD.

En uges tid senere var hullet lukket, og han kontaktede flere medier med henblik på at fortælle historien. KMD leverede systemet for 14 år siden, og det er blevet brugt i 80 kommuner. Derfor var sagen vigtig, mente Esben Warming Pedersen.

KMD politianmeldte ham efterfølgende, efter at de gennem DR Nyheder havde set den video, han lavede for at dokumentere fejlen. 13. juni sendte KMD et såkaldt kundebrev ud, hvor selskabet gennemgik forløbet.

KMD: Vi tager til efterretning

Siden var Esben Warming Pedersen til afhøring hos Københavns Politi. I KMDs anklage lød det, at Esben Waming Pedersen skulle have kigget i programkoden, hvilken han pure har afvist.

I en skriftlig kommentar skriver kommunikationschef i KMD Christoffer Hellmann:

- Når vi møder en - efter vores overbevisning - ikke lovlig tilgang og behandling af vores kunders data, vil det være forbundet med vanskeligheder ikke at anmelde det. Det var vores opfattelse, at Esben Warmings metode til at gøre opmærksom på et sikkerhedshul hverken var lovlig eller på linje med god praksis i sådanne sager. Vi tager naturligvis opgivelsen af sigtelsen til efterretning.

KMD skriver videre, at Esben Warming Pedersen foretog 2366 uretmæssige opslag i systemet, hvoraf 850 opslag var på gyldige cpr-numre.

Og selvom Esben Waming Pedersen har været sikker i sin sag, har sagen rumsteret:

- Det har da været ubehageligt. Dels at læse kundebrevet om sig selv. Og dels at skulle fortælle til jobsamtaler, at jeg var sigtet for hacking. Hvad ville det betyde, hvis jeg blev dømt? Ville jeg kunne få job som it-ansat?

Undervejs støttede hans daværende arbejdsgiver, it-virksomheden Netcompany, ham. Og det er da også af egen vilje, at han er søgt videre. I dag er han ansat som it-professionel i Nordea.

Risikerer bøde på 5000 kroner

KMD skrev i brevet til kunderne, at de sætter pris på henvendelser angående mulige sikkerhedsbrister. Det samme understreger Christoffer Hellmann i mailen til TV 2. Desuden har virksomheden en whistleblower-ordning, lyder det.

De havde nok håbet, at det gik under radaren. Men sagen har skabt stor debat, og det er positivt

Esben Warming Pedersen, it-professionel

Derfor undrer det fortsat Esben Warming Pedersen, at KMD politianmeldte ham og kontaktede Netcompany direkte. For ham minder det mest af alt om afpresning, fordi historien endte i pressen.

- De havde nok håbet, at det gik under radaren. Men sagen har skabt stor debat i branchen, og der er siden lavet et kodeks, hvis man finder fejl i it-systemer. Det er positivt, og derfor er jeg glad for, at sagen er kommet frem, siger Esben Warming Pedersen.

KMD er i dag tilsluttet kodekset.

Selvom sigtelsen mod Esben Warming Pedersen nu er frafaldet, risikerer han dog en bøde på op mod 5000 kroner for ikke at have håndteret cpr-numre med forsigtighed, da han dokumenterede sikkerhedshullet, siger advokat David Neutzsky-Wulf.