Finne bonusreiser på SAS.no / hack for å komme lengre frem i tid enn det SAS vil du skal gjøre

Tråd i 'SAS EuroBonus' startet av indahla, 21. april 2020.

  1. holmen

    holmen "Ung" og "lovende"

    Innlegg:
    8,187
    Likes mottatt:
    19,520
    Bonuspoeng:
    293
    Tilgi dem, for de vet ikke hva de gjør.
     
    indahla liker dette
  2. indahla

    indahla Flyr for lite...

    Innlegg:
    3,554
    Likes mottatt:
    7,605
    Bonuspoeng:
    183
    Aldri!
     
  3. HaraldOslo

    HaraldOslo Senior Medlem

    Innlegg:
    1,069
    Likes mottatt:
    1,346
    Bonuspoeng:
    113
    Juridisk faglig: ingen.
    IT-faglig: lang erfaring.

    Avisartiklene gir nærmest inntrykk av at han endret fra http://vegvesen.no/min-side/HaraldOslo til http://vegvesen.no/min-side/milehigh og fikk sett noe annet.

    Det han faktisk gjorde var å kjøre et bruteforce-angrep for å systematisk hente ut data.

    Min første reaksjon var også "wtf, endre en URL og bli dømt? Her er det noe galt". Så leste jeg dommen, og forsto mer. Er det for strengt? Kanskje. Burde loven vært tilpasset? Absolutt! Men domstolen skal dømme utifra de lovene vi har.

    Jeg har selv dataminet/scrapet websider for å få ut informasjon. Noe av det er nok i gråsonen i forhold til denne saken, og det skremmer meg såklart. Jeg finner det også komisk at dataene han skal ha lastet ned er semi-offentlig, som i at du kan betale for å få de, men ikke kan få de gratis (som med SMS-tjenesten REGNR). Men det han gjorde var alt annet enn å "bare endre en URL".

    Som sagt annet sted: selv om døren er åpen så er det ikke fritt frem å begå innbrudd. Man må respektere datasikkerheten, selv om den er aldri så svak.

    Tenkt dårlig eksempel:
    Innlogging på helsenorge.no for å se din info. Når du er logget inn så bruker den et SOAP/REST-kall for å hente ned /mineopplysninger?key=md5hash(fødselsnummer)
    En luring finner ut at når han er logget inn, så kan han endre key slik at det er md5hash av et hvilket som helst fødselsnummer. Så han henter ut sin session-cookie, legger det inn et script som så prøver å laste ned alle fødselsnummer fra 0101010001 til 31129999999 og lagre de lokalt. Elendig sikring av data fra helsenorge, men like fullt for et datainnbrudd å regne.

    DET er hva som ble gjort i denne saken. Ikke "endret bare en URL".
     
    Last edited: 22. april 2020
    milehigh, holmen and trygveat like this.
  4. milehigh

    milehigh Veteran

    Innlegg:
    2,116
    Likes mottatt:
    3,983
    Bonuspoeng:
    113
    Veldig gode nyanser her. Det jeg primært reagerte på er at du slo klart fast at dommen er riktig (nå også bekreftet at det er uten juridisk kompetanse). Her er det prinsippielle spørsmål som ikke kan overlates til en tilfeldig tingrett, men vi vil etterhvert få en bedre og grundigere avklaring fra høyere rettsinstanser. En av grunnene til at svært lite tingrettspraksis publiseres engang i Lovdata, er at presedensvirkningene er totalt fraværende. Man kan til og med oppleve titalls lignende saker fra tingretter, endog samme tingrett, med totalt sprikende resultater nettopp grunnet manglende presedens.

    Min vurdering, som jurist, er at dommen neppe er riktig. Saken følges i spenning.
     
    Mysterio liker dette
  5. indahla

    indahla Flyr for lite...

    Innlegg:
    3,554
    Likes mottatt:
    7,605
    Bonuspoeng:
    183
    Jeg bare endret en URL ...
     
  6. jgroneng

    jgroneng Veteran

    Innlegg:
    3,713
    Likes mottatt:
    10,194
    Bonuspoeng:
    183
    Du må slutte med det. Nå kan du kun benytte deg av url'er du har lagret ;)
     

Del denne siden