Juridisk faglig: ingen.
IT-faglig: lang erfaring.
Avisartiklene gir nærmest inntrykk av at han endret fra
http://vegvesen.no/min-side/HaraldOslo til
http://vegvesen.no/min-side/milehigh og fikk sett noe annet.
Det han faktisk gjorde var å kjøre et bruteforce-angrep for å systematisk hente ut data.
Min første reaksjon var også "wtf, endre en URL og bli dømt? Her er det noe galt". Så leste jeg dommen, og forsto mer. Er det for strengt? Kanskje. Burde loven vært tilpasset? Absolutt! Men domstolen skal dømme utifra de lovene vi har.
Jeg har selv dataminet/scrapet websider for å få ut informasjon. Noe av det er nok i gråsonen i forhold til denne saken, og det skremmer meg såklart. Jeg finner det også komisk at dataene han skal ha lastet ned er semi-offentlig, som i at du kan betale for å få de, men ikke kan få de gratis (som med SMS-tjenesten REGNR). Men det han gjorde var alt annet enn å "bare endre en URL".
Som sagt annet sted: selv om døren er åpen så er det ikke fritt frem å begå innbrudd. Man må respektere datasikkerheten, selv om den er aldri så svak.
Tenkt dårlig eksempel:
Innlogging på helsenorge.no for å se din info. Når du er logget inn så bruker den et JSON-kall for å hente ned /mineopplysninger?key=md5hash(fødselsnummer)
En luring finner ut at når han er logget inn, så kan han endre key slik at det er md5hash av et hvilket som helst fødselsnummer. Så han henter ut sin session-cookie, legger det inn et script som så prøver å laste ned alle fødselsnummer fra 0101010001 til 31129999999 og lagre de lokalt. Elendig sikring av data fra helsenorge, men like fullt for et datainnbrudd å regne.
DET er hva som ble gjort i denne saken. Ikke "endret bare en URL".
Vis alt...
