Kollegie-anvisning i lemfældig omgang med studerendes cpr-numre

Et rekordhøjt antal studerende begynder snart på en ny uddannelse på landets universiteter og er derfor i fuld gang med at søge bolig i den by, hvor drømmestudiet har hjemme.

Men for de studerende, der ansøger om kollegiebolig i Københavns Kommune via nettet, er der god grund til at være ekstra varsom med at trykke 'send' i ansøgningsformularen.

Oplysninger i ansøgningsblanketten, som skal bruges for at oprette sig som boligsøgende, sendes nemlig helt og aldeles ukrypteret til Kollegiernes Kontor i København, der håndterer ansøgninger til 3.800 kollegieboliger i Københavnsområdet.

Det betyder i praksis, at personfølsomme oplysninger som navn, adresse og cpr-nummer sendes i klar tekst uden at blive krypteret med SSL. Og dermed kan oplysningerne opsnappes undervejs af folk, der måtte have interesse i det.

Efter først at have påpeget, at den boligsøgende ikke er tvunget til at oplyse cpr-nummeret i blanketten, har Kollegiernes Kontor i København (KKIK) erkendt overfor Version2, at hjemmesiden fremstår ukrypteret.

Det er dog også i store træk alt, hvad KKIK har villet oplyse indtil videre.

Boligsøgende: Lemfældig omgang med persondata

Ifølge Datatilsynet er cpr-numre en såkaldt 'højt beskyttet' oplysning i persondataloven og skal derfor sikres. På hjemmesider gøres det typisk med SSL-kryptering.

Datamatiker-studerende Kasper Grubbe forsøgte for ganske nylig at søge ny kollegiebolig via hjemmesiden.

Han bemærkede, at hjemmesiden med ansøgningsformularen, hvor han skulle oprette sig, ikke var SSL-krypteret.

Kasper Grubbe undersøgte hjemmesiden gennem analyseværktøjet Wireshark på en virtuel maskine og fik hurtigt bekræftet, at kollegieselskabet sender alle oplysninger fra ansøgeren i klar tekst ? altså helt ukrypteret.

I Wiresharks log kunne han aflæse alle oplysninger, herunder navn og cpr-nummer, på en fiktiv person, han selv skrev ind i ansøgningsformularen og sendte af sted til kollegieselskabet.

Kasper Grubbe kontaktede herefter KKIK for at oplyse dem om sikkerhedsproblemet, men fik ? ganske som Version2 - blot at vide, at det jo ikke var et krav, at ansøgeren oplyser cpr-nummeret i formularen.

»Er det så i orden at sende cpr-numre i klar tekst over internettet?,« spørger Kasper Grubbe.

»Jeg synes, det er en meget forkert indstilling og et udtryk for lemfældig omgang med folks sikkerhed og personlige oplysninger,« siger Kasper Grubbe.

Version2 er ikke nået videre med sagen hos KKIK trods gentagne henvendelser og et løfte om et officielt svar fra KKIK torsdag i denne uge.

Foreløbig har KKIK oplyst, at leverandøren af hjemmesiden, CBrain, skam har mulighed for at kryptere ansøgningsblanketten. Det er blot ikke blevet aktiveret endnu på hjemmesiden, men det vil ske hurtigst muligt. Det er dog oplysninger, som KKIK ikke har fået endeligt bekræftet hos CBrain.

Kasper Grubbe understreger, at han udelukkende har efterprøvet eksistensen af sikkerhedsproblemet med en fiktiv identitet.