Kommunens svar: http://www.umea.se/umeakommun/kommunochpolitik/arkiv/artiklarkommun/kommentarerochsvaromfalletmeddataintrangochskadestand.5.65771eb14bfe25fed210151.html
Ganska tydligt att det rör sig om en värdelöst hanterad incidenthantering i kombination med ren repression för att sända ett budskap. Jag är (som medlem) helt för ett uttalande av DFRI till stöd för den här unga hackern. // A On 03/19/2015 10:06 AM, Martin Millnert wrote: > Hej, > > en 17-åring har stämts av Umeå kommun för dataintrång. > > http://www.vk.se/plus/1408023/17-aring-kravs-pa-halv-miljon-i-skadestand?pak=oyPCjLSBSV79P8cHlUKDET%2BLgsbrA%2F2dS%2Fy3pkgu2VflI%2BPR3w%2F8kyBe6emexg%3D%3D > > TL;DR: En 17-åring hittade stora säkerhetsbrister i Umeå kommuns > skol-IT-miljö, bl.a. att användarnamn och lösenord låg sparat på > alla klientmaskiner, åtkomligt för vem som helst. Efter att ha ha > påtalat detta för kommunen utan någon som helst reaktion, gjorde > 17-åringen en proof-of-concept med sårbarheten; loggade in och > överlastade några servrar i 10 minuter. > > Som tack för det hela stämmer Umeå kommun 17-åringen för alla > kostnader relaterade till ärendet, inklusive kostnader att ta fram > bevismaterial till polisen. Cirka 500 000 kr för att bl.a. byta > lösenord för ~600 användare. > > > Det jag undrar är om offentlighetssverige verkligen vill gå denna > vägen i extremt klara fall av whitehats som detta? Det verkar ju i > såfall enbart i dessa två riktningar: * Det verkar till fördröjd > upptäckt av felaktigheter, * Det verkar också mot "rapportering > inom korrekta kanaler", och för rapportering via > whistleblower-liknanade kanaler, d.v.s. anonymt och till stor > publik. > > Och till sist -- är det rimligt att användare skall hållas > kostnadsansvariga för IT-systemägarens kompetensbrister? > > DFRI kanske kunde göra ett uttalande som 17-åringen kan använda i > rättegången? > > Vänligen, Martin > -- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet pÃ¥ internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
