13-åringen til kode24: - Slik fant jeg de 35.000 passordene

- Det var en helt åpen fil, forteller eleven i Bergen, som fant den med et C#-skript.

Bergen kommune har, etter at 13-åringen fant alle passordene, fått et gebyr på 1,6 millioner kroner av Datatilsynet. 📸: Harry Burk / Unsplash
Bergen kommune har, etter at 13-åringen fant alle passordene, fått et gebyr på 1,6 millioner kroner av Datatilsynet. 📸: Harry Burk / Unsplash Vis mer

Det har stormet rundt Bergen kommune de siste månedene, etter at et barn fikk tilgang på rundt 35.000 brukernavn og passord til elever og ansatte i skoleverket til kommunen.

Saken har tatt mange vendinger, som da politiet gikk ut og beklaget at de brukte omdømmetap som begrunnelse for inndragelse av datautstyr.
Saken har tatt mange vendinger, som da politiet gikk ut og beklaget at de brukte omdømmetap som begrunnelse for inndragelse av datautstyr. Vis mer

Blant andre NRK har fulgt saken tett, og historien har grovt sett gått sånn her:

  1. En da 12 år gammel skoleelev kom over alle passordene via skolenettet våren 2018. Dette ble meldt fra om til skolen.
  2. Da eleven gikk inn igjen samme sted på nettverket i august samme år, skal passordene fortsatt ha ligget der. Han brukte da ett av passordene til å sende en epost i rektors navn, for å varsle om dette på nytt.
  3. Bergen kommune meldte da saken til Datatilsynet og politiet. Politiet gikk til aksjon mot gutten, som ikke hadde skjult sporene sine, og beslagla datautstyret hans. Noe av begrunnelsen var at gutten hadde påført kommunen et "omdømmetap".
  4. I mars i år vedtok Datatilsynet et gebyr på hele 1,6 millioner kroner mot kommunen.
  5. Kritikken mot både kommunens og politiets behandling av saken har haglet. Senere har byrådsleder Harald Schjelderup i Bergen kommune beklaget, og politiet har trukket "omdømmetapet" som begrunnelse for beslag.

Men nøyaktig hva var det egentlig gutten gjorde? Hvordan fant han fila?

kode24 har, som eneste norske medie, fått stilt 13-åringen et par spørsmål om nettopp det.

Overraska pappa

- Den uka skolen begynte igjen i fjor, gikk kommunen ut med en melding om at 35.000 passord kunne være på avveie. At det hadde vært et hackerangrep mot Bergen kommune. Jeg tenkte at dette kunne jo ikke være sønnen vår; han fant jo bare passordene på skolen, og var ikke noen hacker, forteller 13-åringens far, som ønsker å være anonym, til kode24.

- Men så stod vi der en morgen, andre skoledag, med gangen full av unger. Så ringer det ei dame på døra, som ber om å få snakke med en voksen, og sier hun er fra politiet.

Det endte med timesvis med avhør i familiens hus, og flere politifolk som tok med seg datautstyret til 13-åringen.

Siden den gang har det blitt skrevet hundrevis av artikler om saken, og det har blusset opp en stor debatt om varslere, datasikkerhet og håndteringen av slike varslersaker.

Skript i C#

kode24 har gjennom faren fått stilt sønnen et par spørsmål på epost, om det rent tekniske rundt funnet hans.

Faren forteller at sønnen fant passordene i en CSV-fil på skolenettverket, som den da 12 år gamle gutten fant via et skript. Det var først da sønnen gikk inn og leste fila at han innså hva han hadde funnet - ikke bare sin egen bruker, men tusenvis av andres.

- Kan du fortelle litt om hvordan du skrev skriptet du brukte for å finne fila med alle passordene?

- Skriptet skrev jeg i C#, for å gjøre denne oppgaven. Jeg skulle bare søke etter brukernavnet mitt. Det var et ganske lite skript, kanskje 100 linjer eller noe slikt, svarer 13-åringen.

Ifølge 13-åringen fulgte han bare filstrukturen på serveren, og kjørte et skript for å søke etter sitt eget brukernavn. Filene skal ha ligget åpent ute for alle. 📸: Ole Petter Baugerød Stokke
Ifølge 13-åringen fulgte han bare filstrukturen på serveren, og kjørte et skript for å søke etter sitt eget brukernavn. Filene skal ha ligget åpent ute for alle. 📸: Ole Petter Baugerød Stokke Vis mer

Åpent på nettverket

- Kan du fortelle litt om hvor fila faktisk lå?

- Filen lå på en Windows Server 2012 R2. Den var bare tilgjengelig for PC-er på elevnettet, forteller 13-åringen.

Han skal ikke ha gjort noe spesielt for å åpne filene. Skriptet hans fant dem bare, og alle som måtte vite om den samme stien på nettverket kunne ha åpnet dem.

- Jeg bare tastet inn "\\elev.bergenkom.no" og trykket på den i filutforskeren. Så fant jeg mappen "\IKTdrift", og gikk inn på den. Der brukte jeg skriptet, og det fant filene. Det var mange CSV-filer, med brukernavn og passord, forteller 13-åringen til kode24.

«Jeg bare tastet inn adressen og trykket på den i filutforskeren.» 13-åringen

- Det var en helt åpen fil, ikke usynlig eller kryptert.

Takker for støtten

13-åringen skal ha fått tilbake det meste av datautstyret sitt, men faren forteller at politiet ønsker å inndra harddiskene passordfilen ble lagret på.

Gutten skal i mellomtida ha fått en ny datamaskin fra et lite datafirma i Bergen, og det har også blitt arrangert innsamlingsaksjoner for å gi gutten penger til å kjøpe seg nytt utstyr. Pengene skal familien heller bruke på å få i gang tilbud til kodeinteressert ungdom, i samarbeid med Lær Kidsa Koding og andre aktører.

I tillegg til alt dette har familien fått stor støtte fra en rekke kjente aktører i sikkerhetsmiljøet, som mener sønnen bør anses som en helt, ikke en skurk.

- Det er utrolig hyggelig at vi har fått så mye støtte, både moralsk og økonomisk, fra IKT-miljøet, sier faren til kode24.

- Det har holdt oss oppe, og sønnen min setter også utrolig stor pris på det. Vi har også lest alle meldinger på Twitter, selv om vi ikke deltar der selv.

Bergen kommunes svar til Datatilsynet ligger tilgjengelig for alle som vil lese det.
Bergen kommunes svar til Datatilsynet ligger tilgjengelig for alle som vil lese det. Vis mer

Bekrefter "feil tilgang"

- Filen var en midlertidig fil som ble brukt for i forberedelsene til nytt skoleår, forteller direktør for digitalisering og innovasjon Kjetil Århus i Bergen kommune til kode24.

Han viser videre til svaret de ga Datatilsynet, hvor de blant annet omtaler filområdet som "skjult", i gåseøyne.

Her forklarer de også at de fleste passordene ikke var gyldige lenger, selv om eleven altså klarte å sende eposter i rektors navn med dem.

- Bergen kommune har i ulike tidligere kommentarer til saken beklaget at det var feil tilganger på den skjulte mappen denne filen var lagret i, som gjorde at eleven kunne finne den, sier Århus.

Beklager håndtering

- Hvor godt synes dere selv at Bergen kommune har håndtert denne saken?

- Bergen kommune har beklaget at vi ikke håndterte varselet i mai på en bedre måte, begynner Århus.

«Det er vanskelig å se at Bergen kommune hadde fått nødvendige svar og bekreftelser [uten] politiet.»

De som håndterte hendelsen høsten 2018, da den falske eposten ble sendt, skal ikke ha hatt informasjon om 13-åringens varsler i mai, da passordene ble funnet. Da det viste seg at uvedkommende, som de nå vet var 13-åringen, hadde tilgang på store mengder sensitiv data, kobla de derfor raskt inn politiet. Politiet oppsøkte dermed huset til 13-åringen basert på IP-adresser som ble loggført da han sendte e-posten.

- Hvis politiet ikke hadde fått nødvendige bekreftelser og analysert data fra beslaglagt utstyr, måtte Bergen kommune iverksatt et betydelig sett med andre tiltak, hvis store mengder med personopplysninger var på avveie. Når politiet fikk bekreftet at det var en elev med gode hensikter som stod bak, så var våre tiltak deretter, forteller direktøren, som igjen beklager at varselet i mai ikke ble håndtert bedre.

- Det er vanskelig å se at Bergen kommune hadde fått nødvendige svar og bekreftelser på en så alvorlig sak uten bistand fra politiet, skriver Århus i eposten til kode24, og avslutter:

- Slik situasjonen var i hendelseshåndteringen for Bergen kommune, utførte vi de vurderinger og tiltak for ble vurdert som riktig med informasjonen som var tilgjengelig på de ulike tidspunktene