Telegram

900.000 danskeres cpr-numre lækket ved en fejl

900.000 danskere risikerer at blive udsat for datakriminalitet efter en alvorlig fejl på CPR-kontoret.
Telegram
3. juli 2014 kl. 10:40

CPR-kontoret under Økonomi- og Indenrigsministeriet har onsdag ved en fejl lagt 900.000 danskeres cpr-numrene frit frem på internettet. De risikerer dermed at blive ofre for identitetstyveri og anden datakriminalitet, skriver Børsen.dk.

De danskere, der er berørt af fejlen, har registreret sig på dem såkaldte Robinson-liste, der betyder, at man ikke ønsker adresserede reklamer, samt at virksomheder ringer uopfordret til én med tilbud og reklamer.

Datalækagen blev ifølge børsen.dk opdaget af Finn Gilling, der driver firmaet Gilling ApS, som i over 10 år har arbejdet med personfølsomme data som statens distributør af ejendomsoplysninger.

- Vi reagerer med det samme, og skriver til CPR-kontoret, at der er kommet cpr-numre på listen.

- Vi fik først klokken 19.29 svar fra CPR-kontoret om, at listen var taget ned. Min opfattelse er, at det danske cpr-nummer-system er så kompromitteret, at cpr-nummeret alene ikke mere bør kunne benyttes til nogen former for online-transaktioner, siger Finn Gilling til Børsen.dk.

Kontorchef på CPR-kontoret Carsten Grage bekræfter ifølge Børsen.dk, at hundredtusindvis af danskeres cpr-numre er blevet lækket.

- Fejlen er sket hos CSC, der siden 2000 har leveret en datafil hvert kvartal. Af en eller anden grund er cpr-numrene denne gang kommet med sammen med personernes navne og adresser, siger Carsten Grage til Børsen.dk.

Han forventer en hurtig redegørelse fra CSC om forløbet.

Ifølge Carsten Grage har lækagen stået på i 50 minutter, før CPR-kontoret lukkede for adgang. Op mod 18 firmaer har i dette tidsrum hentet listen til brug for deres markedsføring. Firmaerne har i dag til klokken 16 til at bekræfte over for CPR-kontoret, at data er slettet, skriver Børsen.

Sagen om fejlen på CPR-kontoret sker i kølvandet på flere ugers debat om datasikkerhed i Danmark.

For omkring to uger siden lækkede hackere cpr-numrene på 91 folketingsmedlemmer, der var med til at stemme en lov igennem, som opretter et nyt center for cybersikkerhed.

/ritzau/

Opdateret 3. juli 2014 kl. 11:05

Martin Madsen

Flot!

Nanna Wulff M., Rune Petersen, Peter Taitto, Lise Lotte Rahbek og lars abildgaard anbefalede denne kommentar
Flemming Scheel Andersen

Godmorgen Danmark

Steffen Gliese

Omhu og omtanke er forsvundet i en mærkelig tåget forestilling om hensigtsmæssighed. Men at bevare det hemmelige hemmeligt er mere hensigtsmæssigt end hurtig sagsbehandling og adgang for Gud og hvermand.

Helene Nørgaard Knudsen

Man kan ikke beskytte sig mod hackere ved andet end at gå offline. IT-sikkerhed i dag afhænger ene og alene om hvor dygtige dem der prøver at komme ind er. Men når staten laver sådan en "fejl" og offentliggør cirka 1/6-del af befolkningens følsomme oplysninger. Staten sælger endda ud af de her oplysninger. Hvis jeg var kriminel og levede af at sælge en ny identitet til folk så ville det være let at få et cvr-nummer og gå til staten med en bogus-undersøgelse og købe, måske, en halv million cpr-numre (det er ikke det man beder om men de ryger med så man kan bestemme alder og køn entydigt) ville jeg være lykkelig for at der ikke er billede på sygesikrings-kortet. Jeg ville være lykkelig over at det formentlig er billigere at betale den Danske stat for de oplysninger end at hyre en gruppe it-kriminelle til at gøre det.

Benny Pedersen

CPR-nummeret er misforstået. Det bruges som om det er en hemmelig oplysning, samtidig med at det står på vores sygesikringsbevis med store letlæselige tal.
Det skulle aldrig have været brugt som noget hemmeligt, blot some et serienummer.
Men der er tilsyneladende masser af inkompetente tåber der besidder poster de i den grad ikke er kvalificerede til.

Bo Carlsen, Rune Petersen og Niels Duus Nielsen anbefalede denne kommentar
Peter Taitto

Fucking narrehoveder, imbecile, latterlige kræ og arrogante idioter.

Jeg gider ikke engang, at undskylde mit franske. For sådan noget pisser mig så megameget af!

Peter Taitto

Men dette er resultatet når man hælder magisk IT-sovs udover alt i fremskridtets navn. Det er gået så forbandet hurtigt, at brugerne ikke er med på vognen medmindre man er stærkt IT-kyndig på niveau himmelhøjt over pc-kørekort og "superbruger" i office-pakken.

Lise Lotte Rahbek

Drop cpr.numrene.
Slet registeret.
Sluk !

hvad fanden skal vi med dem? De bruges jo ikke i borgernes tjeneste, men til registrerig og kontrol fra myndighedernes side. Når altså ikke de ved en lillebitte fejl kommer til at smide 900000 ud til brug for hvemsomheslt.
Lad nu de numre ligge og lad personer hvile i deres navn.

Henrik Strøm

@Helene Nørgaard Knudsen
IT-sikkerhed i dag afhænger ene og alene om hvor dygtige dem der prøver at komme ind er. - det er heldigvis ikke rigtigt, men CPR nummer systemet er en stor trussel for danskerne i forbindelse med identitetstyveri.

Noreena Hertz skrev for nyligt på Twitter at 2/3 af alle svindelsager i UK har at gøre med identitetstyveri, og noget lignende gælder sikkert for Danmark.

Med så mange CPR numre i frit omløb er det klart et behov for at ændre regler om brug af CPR numre her og nu, og så kunne man passende offentliggøre alle CPR numre.

Det forekommer mig, at der stadig ikke er én eneste politiker, som har forholdt sig til sagen. Den dag, hvor det var 91 politikeres cpr-nr. som blev "lækket", var de sgu ikke så generte.

http://www.dr.dk/Nyheder/Indland/2014/06/17/0617095052.htm

Flemming Scheel Andersen, Katrine Visby, Nanna Wulff M., Rune Petersen og Henrik Strøm anbefalede denne kommentar
Henrik Strøm

@Lise Lotte Rahbek
CPR nummeret er eneste unikke nøgle til at identificere borgerne med, og som sådan er den ok. Problemet er at man i årevis har behandlet den som ikke alene identifikation men autentifikation, hvilket ikke var meningen da man designede systemet.

Hvis man slettede alle numre ville stort set alt offentlig forvaltning bryde sammen, fordi man ikke har andre måder at identificere folk entydigt - men det kunne da være en interessant øvelse :-)

Lise Lotte Rahbek

Henrik Strøm
Jeg er vild med den tanke.
Tænk hvis forvaltningerne blev nødt til at tale med mennesker.

Katrine Visby, Bo Carlsen og Rune Petersen anbefalede denne kommentar
Benny Pedersen

Lise Lotte Rahbek,
Det er ikke praktisk at afvikle CPR-registret. Det hjælper med at kende en Jens Hansen fra en anden Jens Hansen.
Problemet er at forskellige virksomheder og institutioner behandler det som en hemmelig oplysning som KUN den pågældende person har kendskab til.
Det er denne antagelse der er dybt uansvarlig, ikke CPR-registret generelt.

Finn Bendixen

Og hvorfor fanden skal man i det hele taget sælge listen med oplysninger om os der ikke ønsker reklamer og anden påtrængende markedsføring? Jeg vil ikke have reklamer, basta! Så lad være med at give firmaer mulighed for at omgå den ordning med fiffige kneb ved at sælge lister med vores navne!

Finn Bendixen

Og hvorfor fanden skal man i det hele taget sælge listen med oplysninger om os der ikke ønsker reklamer og anden påtrængende markedsføring? Jeg vil ikke have reklamer, basta! Så lad være med at give firmaer mulighed for at omgå den ordning med fiffige kneb ved at sælge lister med vores navne!

Helene Nørgaard Knudsen

@Henrik Strøm 03. juli, 2014 - 11:24: jeg er overbevist om at hvis USA, Kina eller Rusland vil ind på din computer så kommer de ind. Jeg er sikker på at noget lignende kan siges om resten af de tjenester. Du går ind på en hjemmeside og så er de inde. Så enkelt er det, desværre :-(

Det her betyder at cpr-nummeret nu kun kan anses for at være en offentlig nøgle i et it-system. Det vil sige en unik identification af den enkelte borger. That's it! Det er en udemærket ide at kræve login med nem-id på nettet men det ændrer ikke ved sikkerheden i realspace. Det eneste der hjælper er et billede på sygesikringkortet. Hvad er problemet? Vi har billede på pas og kørekort så staten har i forvejen et billede af os allesammen. Den eneste forskel er at man i for eksempel i borgerservice også ser et billede når man indtaster et cpr-nummer. Det betyder at man godt kan skaffe sig et andens cpr-nummer det er bare langt mere avancerede metoder man skal tage i anvendelse hvis man ønsker at misbruge det.

Helene Nørgaard Knudsen

Os med Zoo-kort ved at Zoologisk Have allerede bruger et lignende system. Er opgaven for svær for statens it-leverandører for min tillid til dem rasler ned for tiden.