Gjorde noe dumt her om dagen, og lurer rett og slett på om det jeg gjorde er ulovlig.

Har vært hos fotograf og tatt familiebilder. Av ham fikk vi et passord til et lukket webgalleri som vi kunne plukke ut de bildene vi ønsket. Av ren nysgjerrighet prøvde jeg og endre filnavnet (var noe sånt som http://xxxxxxxxx.no/arbeid/foto/webgallery/2354). Hvis jeg byttet ut de siste tallene, kom jeg plutselig inn på andre private webgallerier. Synes jo dette var litt spennende, siden det kunne jo dukke opp noen jeg kjente. Sjekket vel ca 20 gallerier før jeg begynte å tenke på konsekvensene.

Så kommer spørsmålet mitt: Har jeg gjort noe ulovlig?
Etisk og moralsk er det kanskje ikke helt bra, men rent praktisk i forhold til norsk lov? Jeg er absolutt ingen hacker, og har ikke kunnskap om datasikkerhet. Synes også det er litt merkelig at sikkerheten var så svak. Må jo være en eller annen før meg som har prøvd det samme (ikke at det gjør saken bedre).

Har vurdert å kontakte fotografen og fortelle om sikkerhetsproblemet, men har ikke turt i forhold til om han kan bruke det mot meg og påstå at jeg har hacket siden hans.

Har ikke sovet ordentlig siden dette skjedde, og må få dette ut av kroppen.

På forhånd takk.

Jeg vil råde deg til ikke å fortelle om dette til noen, og begynne å bruke en annen fotograf for fremtiden.

Kontakt fotografen anonymt.

Takker for svar.

Men hvis jeg tipser anonymt, har han jo ip-adressen min fra da jeg var innom...

Hvor lenge ligger ip-adressen min lagret?

Jeg tviler egentlig på at han kommer til å anmelde deg. Bare snakk med han om hva du fant ut, og han vil mest sannsynlig takke deg for det.

Bruk nettleseren TOR. Tregt, men den gjør deg like anonym som VPN. Bare pass på at du ikke oppgir opplysninger om deg selv når du leverer tipset.

takk igjen

Tror jeg ville valgt å tipse han om det. Feks ved å fortelle om at du prøvde å skrive inn url etter hukommelse og havnet på en helt fremmeds persons galleri. Sannsynligheten er høy for at fotografen ikke kan gjøre noe (eksemplevis, det er ikke han som har laget løsningen) eller ikke bryr seg (ikke forstår at det er noe problem), men du har i det minste sagt ifra.

Du har ikke brutt norsk lov. Det er ikke forbudt for deg å se på bildene han har tatt av andre, og enhver forretning har selv ansvar for å sikre tilgangen til sin server. Dersom du hadde lagret bildene og så solgt dem videre og beholdt pengene selv, hadde du brutt åndsverksloven. Men hvis du ikke har gjort det, kan jeg ikke se hva han eventuelt skal anmelde deg for. Å prøve en tilfeldig URL, for så å finne ut at det funker, kvalifiserer ikke til å være et "datainnbrudd".

For øvrig tror jeg også at han vil bli takknemlig for å få vite at han burde finne en annen løsning.

Jeg synes også at slik du fremstiller det er slik det burde være, men dessverre finnes det flere bevis på at domstolene tolker dette som å være et lovbrudd. Trådstarter har i dette tilfellet skaffet seg tilgang til noe som det ikke var ment at han skulle ha tilgang til, og målrettet forsøkt å hente inn enda mer informasjon ved å utnytte en svakhet i nummereringen til albumtjenesten.

Tele2-saken er et godt eksempel på dette. Her kunne du taste inn et valgfritt, gyldig personnummer på Tele2 sine nettsider og så fikk du informasjon om personen tilbake. Å taste inn et siffer feil (og tilfeldigvis velge 2 kontrollsiffer som passer) er ganske usannsynlig, men ikke umulig. Å bevisst forsøke andre personnummer førte uansett til en dom for flere personer, samt inndragelse av mye datautstyr.

Ring han fra en offentlig telefon.

Jeg også vet om et stort sikkerhetshull på en nettside til en middels stor bedrift, men har mye penger i omgang. Jeg tørr ikke å gi beskjed fordi det kan brukes mot meg. Jeg har gjort litt mer enn å bare endre en URL, men det er så enkelt at det ikke skulle vert lov å drive business på nett med så dårlig sikkerehet.

Jeg tør ikke å gi beskjed, fordi jeg ikke vet hvordan de vil se på saken. De kan se p ådet som at jeg har hacket de, og så anmelde meg. Eller så kan de blir glad, og tette hullet. Aler helst ville jeg jo hatt en liten belønning for å forhindre MYE problemer for de. For man kan lage MYE problemer når man har tilgang til det man har der.

Finnes det noe som tilsier at man skal ha en slags belønning for å finne slike hull? På samme måte som at man har krav på finnerlønn om man finner en lommebok?

fullogal: send meg info (så mye og så lite som du måtte ønske) så kan jeg sende en anonym epost og tipse dem om det.

iSatan: kilde på at dette ikke er hacking? som andre har nevnt tidligere å tråden er de kjapt ute med å kalle nærmest alt "skaffet seg urettmessig tilgang til..". Og selv om vi kanskje mener det burde vært strengere håndheving av lagring av informasjon/personopplysninger for eier av nettløsning/side så er det ingen håndheving av noe som helst på dette området såvidt meg bekjent.

Vurderer nesten å starte opp en anonym side der folk kan registrere sikkerhetsfeil. Måtte bare funnet ut en fornuftig modell for å tilby firma/sider å kompansere uten at det kommer gjennom som utpressing.

Har forøvrig selv tipset et tresifret antall sider om sikkerhetsproblemer. Både store og små, og har mottatt særdeles få svar. Av svarene er det ennå færre som er positive, mens de fleste ber deg om å ryke og reise. Kan vel tenkes at det er administrasjonen som snapper opp tips-eposten og som da bitchslapper it-avdelinga (it-fyren), som igjen blir forb.. på deg for å skaffe han tyn/merarbeid.

IKKE SI FRA ! , hvis du sier fra er kjansen stor for at du blir andmeldt og får bot/fengsel.
I følge norsk lov verk/dom'er så har det ikke noe og si om du har sagt fra eller ikke. Har du fått tilgang blir du dømt(har ikke noe og si hva intensjoen din er, god eller ond , eller om du sier/skriver at den er god, så KAN alt være ondt).

Norsk lov er helt på jord , men veldig mange som har fått merke det.

Hvis du sier fra til en "sjefe" så vil dem 100% sikert andmelde deg , pga dekke sin rygg.

Sier du fra til en it admin(OG sjefen ikke veit noe, får du bare takk)

Konklusjon: IKKE SI FRA!

Ser ikke for meg at du får noe særlig positivt ut av det personlig. Defor er det ikke noe vits.

Med den tanken der hadde det ikke skjedd mye bra i verden...

Det er jo snakk om en bagatell, da.

Tviler sterkt på at det blir sett på som verken kriminalitet eller hacking å endre på en URL adresse. Bare si at du først så et bilde, og så prøvde flere for å se om det faktisk var sånn på andre. Det er jo et massivt sikkerhetshull som absolutt burde bli ordnet opp i, og han er neppe klar over det fra før av.

Det samme sikrets hullet var og på dem som levere alle skole foto i norge.
Fra dem kom det fra it: takk for at du sa fra, så går det 1år, og bot i posten, så: takk for at du sa fra, så har vi din navn og addresse, så det er enkeler for purken og spore deg opp.

Takk fra dem var la oss andmelde det..... domainet er er http://axxxxxxxx.no/

Så kort forklart, IKKE SI FRA !

Du vil ALDRI få noe penger. er du uheldig blir du andmeldt/bot.

Norge i dag er systemet laget slik at du IKKE skal si fra.

@Tusseladden: Du har prinsipielt begått et lovbrudd. Selv om dårlig sikkerhet kan virke formidlende er det ikke noe som krever at sikkerheten må være god for at du ikke skal ha lov. Dog, du har ikke forvoldt noen skade, og fotografen har neppe mye interesse av å anmelde deg.
Og, som en annen skriver, du kan alltids bare si at du tastet feil og dermed kom inn på en annen persons bilder.
Uansett, bruker du en anonym mail-adresse - kan hende har fotografen til og med et skjema på nettsiden sin, så tviler jeg sterkt på at h*n vil bruke masse tid på å prøve å spore opp hvem som har vært inne på hvilke gallerier...

@FullOgGal: Igjen, dårlig sikkerhet tilsier ikke at det burde være fritt frem - selv om jeg kjenner en del personer som har den holdningen. Det er selvfølgelig ikke noen god motivasjon for å få varslet om sikkerhetshull at man risikerer en anmeldelse, men se det også fra den andre siden; Du har faktisk gjort noe ulovlig, og selv om en tilståelse skal virke formidlende ville det ikke vært heldig om man la seg på en linje der varsling om sikkerhetshull fritar deg fra straffansvar.

For alt vi vet kunne OP plutselig funnet albumer til kjendiser eller andre type bilder som ikke ønskes på avveie.
En proffesjonell fotograf burde ha et såpass sikkert system at ikke en tilfeldig person kan endre et par URL-er og plutselig få tilgang til en haug av albumer. Selv om det ikke var så "big deal" i denne saken, kunne det vært personer med mer ondsiktende hensikter som oppdaget det.

Du brøyt deg ikkje inn i noen database, du hacka ikkje noen server, du bytta eit tall i ein GET request, det er fotografen(eller eventuelt programmereren) som har skylla i at han ikkje har gjort det utilgjengelig for andre.