Hei og hå! Jeg klarte idag å komme inn på skolens applikasjonsserver, på den var det en delt mappe som het sikker sone og i den lå det noen .XML. Filer, når jeg åpner de i Internet Explorer så ser jeg at det er data ifra oppad lærerweb med navn, telefonnummer, adresse og personnummer i klartekst. Noen andre her som har vert borti noe lignende? Burde jeg si ifra til IT eller læreren min? Og hva blir evt. Konsekvensene?

Hilsen passe stressa 10 klassing.

Si at du vill raportere et sikkerhetsproblem, funka for meg når jeg satt med all info om lærerne og elever

Husk at IT-ansvarlige på ungdomsskoler ofte er veldig "yrkes stolte", ikke sikkert at oppdagelsen din blir så godt tatt i mot.

Kanskje du skulle si at en venn gjorde deg oppmerksom på at dette var mulig?

Hvordan kom du deg inn på serveren?

Jeg skreiv bare inn ip'n til serveren på tilkobling til nettverkstajon i Windows og trykket meg vidre innover i mappene!

Tja, den var tydeligvis åpen og var på samme VLAN. Etter min mening har du ikke gjort noe galt, og jeg ser ikke noen problem med å rapportere dette. Hadde jeg vært IT-ansvarlig hadde jeg blitt fornøyd om noen som oppdaget et "sikkerhetshull" faktisk var voksne nok til å si i fra.

Og det som nevnes opp i tråden her om yrkesstolthet; ikke tenk på det. Det er bare tomme påstander uansett. Brukeren som skrev det har sikker bare hatt en dårlig erfaring.

Gjorde noe lignende, jeg satt på Ungdomsskolen og kom innpå alle private filer til Barneskolen og Ungdomsskolen (de er 3 km fra hverandre) mappene var 8 TB eller noe. Jeg nevnte det ikke til noen lærere, jeg var nok en som ikke var så likt hos lærerne i forhold til data, så jeg holdt dette for meg selv.

Ta det fra en som veit hva han snakker om , IKKE si fra til noen !

Desvere er det ikke noe å tjene ved å si fra, er faktisk MYE støre sansynlig at du vil lide for det.

Alle andre som sier noe annet har sette for mye filmer/bøker, der det lønner seg si fra.

Jeg jobber selv på en kommunal IT avdeling hvor vi fikk melding fra en lærer om en elev som hadde funnet noe tilsvarende.
Han fikk komme og vise oss hva han hadde funnet, og har siden fått være hos oss en dag i uka som valgfag.

Men de færreste IT-ansvarlige(??? kanskje ikke på skoler.. ) er så jævlig løk at de lar slikt ligge helt usikret rundt. Hva tror vi blir lettest for IT-ansvarlig? 1) "Oops, jeg er fette dum i huet og kan ikke jobben min" eller 2) "Denne lømmelen HACKET serveren! Innbrudd!"

Hør på ontheroad. Hvis du vil melde det inn, bør du sørge for å være anonym.

Problemet er at jeg har kræsja det kommunale nettet før og derfor vet IT-avdelingen hvem jeg er. Så om de får noen anonyme tips mistenker dem meg garantert med en gang. Er det noen som vet om de må ha noen bevis eller jeg kan få skylda fordi jeg har gjort det før?

Støttes.
Talentløse IT-folk blir ofte svært lite glade når de blir påminnet om det.

(Egen erfaring)

Jeg var også av den nysgjerrige typen da jeg gikk på ungdomsskolen. Jeg klarte å skaffe tilgang til alle elevers mapper og filer hvor jeg hadde fri tilgang til å slette, redigere og lage nye filer og mapper. Jeg gjorde ikke noe galt(jeg bare fant ut hvilken filbane mappene lå i, og skrev den direkte inn i utforskerens adressefelt.) Jeg meldte aldri dette inn.

Jeg fraråder deg sterkt å melde dette til skolens IT-avdeling, da disse ofte(ut ifra min erfaring) har null peiling, og hater når folk har mer peiling enn dem. Send heller en godt formulert e-post(få gjerne hjelp av noen) til kommunen hvor du forklarer at du har funnet en alvorlig sikkerhetsbrist i filsystemet på din skole, og er villig til å samarbeide hvis ingen risiko er bundet til dette. Du kan gjerne også opprette en midlertidig e-postkonto, eller bruke anonyme e-posttjenester, slik at de ikke kan kontakte deg, med mindre du samtykker til det.

Hehe arv av rettigheter er en fin ting, fører jo til at en må tenke litt innimellom også.

Si ifra på en eller annen måte, er mye som kan gå utover uskyldige i denne saken.

Siden ingen tilsynelatende har nevnt det: Varsle anonymt til hele bøtteballetten slik at du ikke risikerer backlash og så du sikrer deg at det blir tatt tak i og ikke kostet under teppet.

Når personnr ligger synlig i klartekst må dette rapporteres. Dette er et ganske alvorlig sikkerhetsbrudd. Selv har jeg funnet samme problem hos to store norske bedrifter (anslår tilsammen 30K personnr). Rapporterte problemene begge gangene og det var kun skryt å få.

Om du er redd for konsekvensene så kan du rapportere det anonymt som nevnt over. Det er de som må bevise at det er deg og ikke du som må bevise at det ikke er deg De kan ikke straffe deg uten å ha bevis på det.

Kan også ta en titt på dette
http://www.datatilsynet.no/Sikkerhet...-virksomheter/

Sjekket litt rundt i filene i dag og fant ut av at det lå passord og brukernavn til alle lærere i klartekst. Hvis IT-avdelinga finner ut av at jeg har kopiert dette til min dropbox, hva vill konsekvenser bli da? Tusen takk for svar!

Det jeg er redd for om jeg sier ifra er at IT-avdelingen og de sjekker logger og finner ut av at jeg har kopiert filene.

Det du allerede har gjort, kan du ikke la være å gjøre. Derimot kan du la være å gjøre flere dumme ting. Å kopiere dataene er langt mindre alvorlig enn å dele eller bruke dem. Enn så lenge du ikke har gjort noe med filene kan det umulig få veldig alvorlige konsekvenser. Å spille med åpne kort er nok det beste, så lenge du ikke har gjort noe (altså langt unna "nekt nekt nekt" linjen som ofte forkynnes i mørkere kroker på forumet.

Skolen bør være veldig takknemlig for å få lukket et så alvorlig sikkerhetshull uten at noe informasjon kommer på avveie.

Det der kan godt være straffbart, ja.
Siden du tydeligvis ikke kom over dette ved en tilfeldighet, men snarere gjorde et bevisst forsøk på å finne noe, kan jeg forsåvidt skjønne at skolen vurderer en politianmeldelse.

Siden de allerede vet at du har gjort det kan du vel ta kontakt med leder for IKT-avdelingen eller lignende, legge deg langflat og håpe at du slipper unna med en advarsel?