Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  23 6021
Hei og hå! Jeg klarte idag å komme inn på skolens applikasjonsserver, på den var det en delt mappe som het sikker sone og i den lå det noen .XML. Filer, når jeg åpner de i Internet Explorer så ser jeg at det er data ifra oppad lærerweb med navn, telefonnummer, adresse og personnummer i klartekst. Noen andre her som har vert borti noe lignende? Burde jeg si ifra til IT eller læreren min? Og hva blir evt. Konsekvensene?

Hilsen passe stressa 10 klassing.
Si at du vill raportere et sikkerhetsproblem, funka for meg når jeg satt med all info om lærerne og elever
God når det gjelder
Carmex's Avatar
Husk at IT-ansvarlige på ungdomsskoler ofte er veldig "yrkes stolte", ikke sikkert at oppdagelsen din blir så godt tatt i mot.

Kanskje du skulle si at en venn gjorde deg oppmerksom på at dette var mulig?
Sitat av XxHacker123 Vis innlegg
Hei og hå! Jeg klarte idag å komme inn på skolens applikasjonsserver, på den var det en delt mappe som het sikker sone og i den lå det noen .XML. Filer, når jeg åpner de i Internet Explorer så ser jeg at det er data ifra oppad lærerweb med navn, telefonnummer, adresse og personnummer i klartekst. Noen andre her som har vert borti noe lignende? Burde jeg si ifra til IT eller læreren min? Og hva blir evt. Konsekvensene?

Hilsen passe stressa 10 klassing.
Vis hele sitatet...
Hvordan kom du deg inn på serveren?
Sitat av Jurgen1337 Vis innlegg
Hvordan kom du deg inn på serveren?
Vis hele sitatet...
Jeg skreiv bare inn ip'n til serveren på tilkobling til nettverkstajon i Windows og trykket meg vidre innover i mappene!
Sitat av XxHacker123 Vis innlegg
Jeg skreiv bare inn ip'n til serveren på tilkobling til nettverkstajon i Windows og trykket meg vidre innover i mappene!
Vis hele sitatet...
Tja, den var tydeligvis åpen og var på samme VLAN. Etter min mening har du ikke gjort noe galt, og jeg ser ikke noen problem med å rapportere dette. Hadde jeg vært IT-ansvarlig hadde jeg blitt fornøyd om noen som oppdaget et "sikkerhetshull" faktisk var voksne nok til å si i fra.

Og det som nevnes opp i tråden her om yrkesstolthet; ikke tenk på det. Det er bare tomme påstander uansett. Brukeren som skrev det har sikker bare hatt en dårlig erfaring.
Gjorde noe lignende, jeg satt på Ungdomsskolen og kom innpå alle private filer til Barneskolen og Ungdomsskolen (de er 3 km fra hverandre) mappene var 8 TB eller noe. Jeg nevnte det ikke til noen lærere, jeg var nok en som ikke var så likt hos lærerne i forhold til data, så jeg holdt dette for meg selv.
Ta det fra en som veit hva han snakker om , IKKE si fra til noen !

Desvere er det ikke noe å tjene ved å si fra, er faktisk MYE støre sansynlig at du vil lide for det.

Alle andre som sier noe annet har sette for mye filmer/bøker, der det lønner seg si fra.
<?php echo 'VIF'; ?>
datagutten's Avatar
Jeg jobber selv på en kommunal IT avdeling hvor vi fikk melding fra en lærer om en elev som hadde funnet noe tilsvarende.
Han fikk komme og vise oss hva han hadde funnet, og har siden fått være hos oss en dag i uka som valgfag.
RedPanda standing by
robhol's Avatar
Sitat av Jurgen1337 Vis innlegg
Tja, den var tydeligvis åpen og var på samme VLAN. Etter min mening har du ikke gjort noe galt, og jeg ser ikke noen problem med å rapportere dette. Hadde jeg vært IT-ansvarlig hadde jeg blitt fornøyd om noen som oppdaget et "sikkerhetshull" faktisk var voksne nok til å si i fra.

Og det som nevnes opp i tråden her om yrkesstolthet; ikke tenk på det. Det er bare tomme påstander uansett. Brukeren som skrev det har sikker bare hatt en dårlig erfaring.
Vis hele sitatet...
Men de færreste IT-ansvarlige(??? kanskje ikke på skoler.. ) er så jævlig løk at de lar slikt ligge helt usikret rundt. Hva tror vi blir lettest for IT-ansvarlig? 1) "Oops, jeg er fette dum i huet og kan ikke jobben min" eller 2) "Denne lømmelen HACKET serveren! Innbrudd!"

Hør på ontheroad. Hvis du vil melde det inn, bør du sørge for å være anonym.
Sitat av robhol Vis innlegg
Men de færreste IT-ansvarlige(??? kanskje ikke på skoler.. ) er så jævlig løk at de lar slikt ligge helt usikret rundt. Hva tror vi blir lettest for IT-ansvarlig? 1) "Oops, jeg er fette dum i huet og kan ikke jobben min" eller 2) "Denne lømmelen HACKET serveren! Innbrudd!"

Hør på ontheroad. Hvis du vil melde det inn, bør du sørge for å være anonym.
Vis hele sitatet...
Problemet er at jeg har kræsja det kommunale nettet før og derfor vet IT-avdelingen hvem jeg er. Så om de får noen anonyme tips mistenker dem meg garantert med en gang. Er det noen som vet om de må ha noen bevis eller jeg kan få skylda fordi jeg har gjort det før?
Sitat av ontheroad Vis innlegg
Ta det fra en som veit hva han snakker om , IKKE si fra til noen !

Desvere er det ikke noe å tjene ved å si fra, er faktisk MYE støre sansynlig at du vil lide for det.

Alle andre som sier noe annet har sette for mye filmer/bøker, der det lønner seg si fra.
Vis hele sitatet...
Støttes.
Talentløse IT-folk blir ofte svært lite glade når de blir påminnet om det.

(Egen erfaring)
Han har jo ikke gjort noe som helst galt..
Det er jo et ganske seriøst problem om personnummer og alt åpent er tilgjengelig.

Er du redd for å si ifra, så send en mail til datatilsynet og forklar saken slik at de kan ringe skolen og informere. Du har ikke gjort noe galt med mindre du har distribuert dette videre. Folk flest som finner sånt er jo interessert i data og finner det lett uten at de nødvendigvis er ute etter å lage bøll. Finner stadig random ting på jobben jeg også som jeg ikke skal ha tilgang til, og det første vi gjør er å rapportere det som et brudd på sikkerhets- og kvalitetsstandarden vi følger, deretter sørge for at riktig avdeling retter det kjapt som fy
Sist endret av Alec; 9. februar 2015 kl. 19:57.
Jeg var også av den nysgjerrige typen da jeg gikk på ungdomsskolen. Jeg klarte å skaffe tilgang til alle elevers mapper og filer hvor jeg hadde fri tilgang til å slette, redigere og lage nye filer og mapper. Jeg gjorde ikke noe galt(jeg bare fant ut hvilken filbane mappene lå i, og skrev den direkte inn i utforskerens adressefelt.) Jeg meldte aldri dette inn.

Jeg fraråder deg sterkt å melde dette til skolens IT-avdeling, da disse ofte(ut ifra min erfaring) har null peiling, og hater når folk har mer peiling enn dem. Send heller en godt formulert e-post(få gjerne hjelp av noen) til kommunen hvor du forklarer at du har funnet en alvorlig sikkerhetsbrist i filsystemet på din skole, og er villig til å samarbeide hvis ingen risiko er bundet til dette. Du kan gjerne også opprette en midlertidig e-postkonto, eller bruke anonyme e-posttjenester, slik at de ikke kan kontakte deg, med mindre du samtykker til det.
Hehe arv av rettigheter er en fin ting, fører jo til at en må tenke litt innimellom også.

Si ifra på en eller annen måte, er mye som kan gå utover uskyldige i denne saken.
Siden ingen tilsynelatende har nevnt det: Varsle anonymt til hele bøtteballetten slik at du ikke risikerer backlash og så du sikrer deg at det blir tatt tak i og ikke kostet under teppet.
Når jeg gikk på ungdomsskolen så fiksa jeg mye rart på nettverket, 7 år senere var disse hullene forsatt ikke fikset.. (en venn var utplassert der) forklarte hva osv og it ansvarlige blei glad for at noen sa fra.. Jeg er selv it ansvarlig for barne og ungdomsskoler og hadde selv blitt fornøyd viss noen fant ett sikkerhetshull, alltid bedre med en godartet enn at masse ting skal komme på avveie! Det er nå min mening
Sist endret av First-Price; 10. februar 2015 kl. 06:20.
Overskuddsmateriell
Når personnr ligger synlig i klartekst må dette rapporteres. Dette er et ganske alvorlig sikkerhetsbrudd. Selv har jeg funnet samme problem hos to store norske bedrifter (anslår tilsammen 30K personnr). Rapporterte problemene begge gangene og det var kun skryt å få.

Om du er redd for konsekvensene så kan du rapportere det anonymt som nevnt over. Det er de som må bevise at det er deg og ikke du som må bevise at det ikke er deg De kan ikke straffe deg uten å ha bevis på det.

Kan også ta en titt på dette
http://www.datatilsynet.no/Sikkerhet...-virksomheter/
Sjekket litt rundt i filene i dag og fant ut av at det lå passord og brukernavn til alle lærere i klartekst. Hvis IT-avdelinga finner ut av at jeg har kopiert dette til min dropbox, hva vill konsekvenser bli da? Tusen takk for svar!
Konsekvensene kommer av hvordan du bruker informasjonen. Dersom du deler den ut eller missbruker den på noen måte så vil det kunne få alvorlige konsekvenser.

Men om du melder ifra om hva du har funnet, uten å hverken bruke, eller missbruke informasjonen på noen måte vil det ikke bli noen konsekvenser.

http://www.dagbladet.no/2009/11/27/n...brudd/9227966/

Denne saken (som du kan lese mer om på freak.no) fikk alvorlige konsekvenser, men ville neppe fått det om vedkommende kun kontaktet de aktuelle selskapene og informerte dem om svakheten, uten å tilgjengelig gjøre informasjonen.
Sist endret av Cikey; 10. februar 2015 kl. 22:52. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Sitat av Cikey Vis innlegg
Konsekvensene kommer av hvordan du bruker informasjonen. Dersom du deler den ut eller missbruker den på noen måte så vil det kunne få alvorlige konsekvenser.

Men om du melder ifra om hva du har funnet, uten å hverken bruke, eller missbruke informasjonen på noen måte vil det ikke bli noen konsekvenser.

http://www.dagbladet.no/2009/11/27/n...brudd/9227966/

Denne saken (som du kan lese mer om på freak.no) fikk alvorlige konsekvenser, men ville neppe fått det om vedkommende kun kontaktet de aktuelle selskapene og informerte dem om svakheten, uten å tilgjengelig gjøre informasjonen.
Vis hele sitatet...
Det jeg er redd for om jeg sier ifra er at IT-avdelingen og de sjekker logger og finner ut av at jeg har kopiert filene.
Det du allerede har gjort, kan du ikke la være å gjøre. Derimot kan du la være å gjøre flere dumme ting. Å kopiere dataene er langt mindre alvorlig enn å dele eller bruke dem. Enn så lenge du ikke har gjort noe med filene kan det umulig få veldig alvorlige konsekvenser. Å spille med åpne kort er nok det beste, så lenge du ikke har gjort noe (altså langt unna "nekt nekt nekt" linjen som ofte forkynnes i mørkere kroker på forumet.

Skolen bør være veldig takknemlig for å få lukket et så alvorlig sikkerhetshull uten at noe informasjon kommer på avveie.
Er dette straffbart?

1. Åpnet Active Directory under nettverk på skole pc`n. Fikk opp 99 servere som var tilkoblet domenet.
2. Pinge servernavnet i cmd for å finne ip adresse.
3. Installere et portabelt program med Avanced ip scanner.
4. Skrive inn server subnettet og søke opp serverene.
5. Prøve og åpne delte mapper på serveren.
6. Fikk åpnet noen av mappene og kopierte Oppad "databasen" som inneholdt blandt anna personnummere til OneDrive business.
7. Lastet ned databasen på pc`n hjemme.

I dag fortalte min lærer at IKT-avdelinga hadde sperret brukeren min og kanskje vurderte politianmeldelse. Jeg tror de hadde lest loggene.
Sist endret av XxHacker123; 13. februar 2015 kl. 14:36.
Det der kan godt være straffbart, ja.
Siden du tydeligvis ikke kom over dette ved en tilfeldighet, men snarere gjorde et bevisst forsøk på å finne noe, kan jeg forsåvidt skjønne at skolen vurderer en politianmeldelse.

Siden de allerede vet at du har gjort det kan du vel ta kontakt med leder for IKT-avdelingen eller lignende, legge deg langflat og håpe at du slipper unna med en advarsel?