Vegvesenet-dommen:
- Tydeligvis ulovlig å endre URL-er!

Bergens-dom setter vill presedens; nå kan du glemme å fikle med andres API-er.

Jørgen Jacobsen har lest gjennom rettsdokumentene fra datainnbrudd-saken i Bergen. 📸: Ole Petter Baugerød Stokke
Jørgen Jacobsen har lest gjennom rettsdokumentene fra datainnbrudd-saken i Bergen. 📸: Ole Petter Baugerød Stokke Vis mer

Om du ikke har fått med deg de siste dagers Twitter-storm blant norsk utviklere:

En ikke-navngitt utvikler fra Bergen har blitt dømt i Bergen tingrett for datainnbrudd. Det såkalte datainnbruddet skjedde mot Statens Vegvesen sine nettsider, hvor tiltalte er dømt for å ha hentet ut offentlig informasjon.

Altså data som lå tilgjengelig for alle. Og innbruddet skal ha skjedd ved at tiltalte endret URL-en.

Saken gjelder straffeloven paragraf 204, som omtaler innbrudd i datasystemer, og det ble gitt 14 dagers fengsel, med prøvetid på to år.

Dommen ligger ute på rettspraksis.no, og jeg har lest den.

Den er rimelig hårreisende.

Var åpen om å ønske data

I rettens vurdering omtales det blant annet at:

"Tiltalte har mastergrad i informatikk fra Universitetet i Bergen. I 2017 deltok han på «#hack4.no», en samling i regi av Kartverket, hvor en rekke offentlige og private deltakere var til stede, og hvor man presenterte ideer og forslag til digitale løsninger for deling av offentlige data. Retten legger til grunn at en rekke offentlige etater var til stede og ønsket hjelp til å finne gode løsninger for deling av slik informasjon."

Teksten beskriver videre at tiltalte hadde en idè til en app for å søke i motorvogn-eierskap. For eksempel for å komme i kontakt med eiere av feilparkert biler.

Dette var han åpen om, både på #hack4.no-arrangementet, og senere da han beskrev idéen for en overingeniør i Statens Vegvesen. Som forøvrig var positiv til idéen, ifølge rettsvurderingen.

Men å få tilgang til dataen skulle vise seg vanskelig. Først ble utvikleren tilbudt en SMS-tjeneste, så et tilbud om å kjøpe dataen på CD. Noe tiltalte avslo.

Senere søkte også utvikleren om å få tilgang til Statens Vegvesen sin database, gjennom et skjema de selv oppfordret han til å bruke. Men denne søknaden ble senere avslått.

Det var da utvikleren skal ha tatt saken i egne hender.

«Ingen data hos Statens Vegvesen ble endret, og all data lå altså ute offentlig.»

Dette anser retten som hacking

Rettsvurderingen forteller at Bergenseren logget seg inn på Statens Vegvesen via "Min Side", og fikk opp sin egen profilside.

Deretter oppdaget tiltalte at ved å endre en ID i URL-en nettsiden brukte, kunne man få opp andre personers informasjon. Tiltalte skrev så et script som endret ID-en løpende, og lastet ned Statens Vegvesen sitt kunderegister.

Ingen data hos Statens Vegvesen ble endret, og all data lå altså ute offentlig.

9. januar 2018, ett år etter at tiltalte først søkte tilgang til dataene, fortalte tiltalte til overingeniøren i Statens Vegvesen at han hadde funnet en måte å få tilgang til dataen. Da ble det ifølge rettsvurderingen "konstatert sikkerhetshull i dataystemet".

Samme dag ble tiltalte pågrepet, fikk utstyret sitt konfiskert og ble ransaket.

"Bommerten" som felte

Tiltalte erkjente forholdene. Og hvorfor skulle han ikke ha erkjent?

Han hadde jo vært helt åpen om hva han gjorde. Han hadde jo til og med kontaktet selveste overingeniøren i Statens Vegvesen.

Men det spiller ingen rolle for norsk rettsvesen. I rettsvurderingen står det nemlig videre:

"Det er på det rene at de opplysninger tiltalte fikk ut, kunne ha vært tilegnet på lovlig vis. Tiltalte har senere gjennom innsynsbegjæring etter offentleglova § 9 fått kopi av mer omfattende data som har vært utlevert til andre aktører. Tiltalen gjelder imidlertid ikke brudd på personopplysningslovgivning eller lignende."

Utvikler Hallvard Nygård, som har skrevet flere Tweets om saken fra sin Twitter-konto, forteller at han også har fått tilgang til dataene, med hjemmel i offentlighetsloven paragraf 9. Han viser også til en API-URL som lastes på Statens Vegvesen sine nettsider, som kan brukes til å hente ut dataene.

Med andre ord: Tiltalen har ingenting å gjøre med at han tilegnet seg dataene. Tiltalte fikk sågår tilgang til dataene lovlig senere.

Bommerten tiltalte gjorde var altså at han brukte datasystemet, nettsidene til Statens Vegvesen, på en måte som ikke var tiltenkt, ved å endre en URL. Dette er ifølge retten vurdert som "uberettiget".

Tiltalte ble heller ikke dømt for å bruke dataene til noe - kun for å skaffe seg dem på feil fremgangsmåte.

«Med andre ord: Tiltalen har ingenting å gjøre med at han tilegnet seg dataene.»

Setter en vill presedens

Dette, mine damer og herrer, koker ned til én enkel ting: Det er tydeligvis ikke lov å endre URL-er på internett for å få tilgang til data. Med mindre tjenesten legger opp til det.

Om du skulle finne på å endre artikkel-ID-en i URL-en for en toppsak på kode24, kode24.no/72165597, og få opp en annen artikkel, er det visst ikke tillatt.

Kanskje tar du en titt på nettverkstrafikken for siden vår, også, og finner ut at vi bruker et API for å hente ut relaterte artikler. Kanskje fikler du litt med dette API-et, som ligger åpent på våre nettsider.

Da gjør du i følge Bergen Tingrett noe lovstridig, så vidt jeg kan forstå.

Men i motsetning til Statens Vegvesen, kommer ikke jeg til å anmelde deg.