18-årig afslører gymnasieelevers CPR-numre

Gynmasieskolernes system til biblioteksudlån giver let adgang til tusinde elevers CPR-numre.

»Der er overhovedet ingen sikkerhed, der stopper en. Jeg kan ikke tro, det er så grotesk nemt«, siger Albert. Han er en 18-årig gymnasieelev, der overfor avisen Politiken afslører hvor let det er at få oplysninger om sine medstuderenes CPR-numre. Ifølge Albert er der åben adgang til de mange cpr-numre via det system, mange gymnasieskoler benytter til biblioteksudlån, og hvor man logger på alene ved at indtaste sit cpr-nummer.

I løbet af få minutter skaffer han cpr-numre på op mod tusind gymnasieelver. Han demonstrerer fremgangsmåden over for Politiken, der ikke fortæller om metoden men oplyser at bibliotekssiden kæder CPR-numrene sammen med et navn.

»Tænk, hvad en identitetstyv kunne bruge det her til. Hellere at jeg gør det, end en eller anden russisk hacker. I princippet kunne jeg sætte alle de her cpr-numre til salg på nettet. Det har jeg ingen interesse i, men det kunne andre måske finde på«, siger 2. g-eleven til avisen.

Historien er de seneste afsløring af, hvor nem adgangen er til danske borgeres CPR-numre, hvilket har åbnet for debatten om CPR overhovedet bør opfattes som et hemmeligt nummer. Version2 har skrevet et foreløbigt overblik over CPR-historierne her:

Læs også: Overblik: Er det slut med det 'hemmelige' cpr-nummer?

Leverandøren af gymnasieskolernes biblioteksløsninger Reindex kendte ikke til problemet før Politiken gjorde firmaet opmærksom på sikkerhedsbristen. Kodeansvarlig Hans Erik Büchner oplyser at Reindex »ikke har rådgivet vores kunder tilstrækkeligt med henblik på sikkerhed for persondata«, men siger, at firmaet tilbyder flere løsninger, og at det er skolernes valg alene at bruge cpr-numre som login.

Reindex varetager cpr-oplysninger på omkring 60.000 elever.

Efter afsløringen har Albert, hvis fulde navn er kendt af Politiken, nu hjulpet Reindex med at lukke hullet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mikael Ibsen

at Albert ikke forlængst er blevet politianmeldt og retsforfulgt for at gøre opmærksom på fejlen. Der har jo udvikler sig en fin tradition i Danmark for at skyde budbringeren, for på den måde at sløre offentlig uduelighed, så borgerne kan sove trygt om natten, i vished om at alt er i bedste orden, og alle systemer velfungerende.
Hvad gik der dog galt her ?

Martin Nielsen

Med NemID har staten vist vejen. Folk skal bruge deres CPR-nummer som brugernavn.

Det undre mig derfor ikke, at andre også bruger CPR-numre som brugernavn.

Men det er sjovt som alle vasker hænder, når korthuset begynder at vælte. Der er snart ikke den politiker, der ikke har været ude og kritisere måden som CPR-nummeret bruges på - men deres egen løsning viser ikke vejen til god it-politik.

Lars Meldgård

Kom nu - CPR som brugernavn = identifikation er da meget godt. Det identificerer unikt enhver person i danmark. Man kan simpelthen ikke være i tvivl hvem man snakker om.
Men lad dog være med at blande password ind i billedet her. Hvis CPR er brugernavn, så er NEMID eller lign. vel et fint password.
Hell - du kan selv vælge hvor stærkt dit password skal være, fra simpelt kodeord, over nemid med papkort til endnu mere komplicerede løsninger.
Og hvad så hvis nogen kender mit brugernavn. Her i firmaet hvor jeg arbejder kender vi da alle hinadnen brugernavne - det e ren del af email-adressen. Men kodeordet er hemmeligt...
Hvorfor skal det være så svært?

Patrick Moog

Et stort problem lige nu, er at politikerne er så forbavsende lidt inde i sagen, at de endda bruger de forkerte ord og betydninger når de diskuterer og udtaler sig om emnet.
Den største synder er her helt klart "Identifikation" og "Autentifikation".

Jeg har endnu ikke hørt en politiker bruge ordet "Autentifikation" selvom det er det, det hele handler om.
Et eksempel er her:
http://www.dr.dk/Nyheder/Indland/2014/07/03/110822.htm
"CPR-nummeret skal ikke længere kunne bruges som identifikation, siger Pernille Skipper"
Pernille Skipper, er nok den politiker der har været mest fremme i CPR historierne og sætningen her viser jo at selv det mest basale ikke er på plads hos hende.

CPR er jo glimrende til identifikation, ganske som en nummerplade er det til en bil og de burde betragtes med præcis den samme offentlige tilgængelighed.

Morten Borg

Jeg bruger ikke mit CPR nummer når jeg bruger NemID.
Du kan nemlig sætte et SELVVALGT brugernavn.

Jeg bruger også selv selvvalgt brugernavn, men eftersom standard er CPR-nummer må man nok antage at 99,9% bruger dette.

Man kan også med rimelighed argumentere for det fornuftige i dette eftersom folk altid - medmindre man er meget højt oppe i alderen - kan huske deres CPR-nummer, hvorimod et selvvalgt brugernavn nok vil blive glemt af mange - med mange supportsager og omkostninger følgende deraf.

Martin Nielsen

Jeg ved ikke hvor du har det fra...
Jeg bruger ikke mit CPR nummer når jeg bruger NemID.
Du kan nemlig sætte et SELVVALGT brugernavn.


Jeg er klar over at man selv kan bestemme sit brugernavn, men som udgangspunkt er det ens CPR-nummer. Man skal altså selv gå ind og aktivt ændre det til noget andet.

Jeg skal ikke kunne sige om proceduren er ændret siden jeg oprettede NemID og om man bliver bedt om at lave et brugernavn. I så fald burde der være en regel der sikre, at det ikke er folks CPR-nummer.

Anders Rosendal

Hvad ville der ske hvis en smart teenager på 14 begyndte at offentliggøre cprnumre?
Han/Hun kan jo ikke straffes. Så det ville være svært at "true" vedkommende til at stoppe. Og siden det er så nemt burde man seriøst overveje om cprnumre er "hemmelige".

Per Erik Rønne

Da jeg oprettede min NemID-adgang fulgte der automatisk et bruger-ID med. Et naturligt tal med mange cifre.

Jeg skulle selv logge ind med dette ID, selv markere at jeg gerne ville kunne logge ind med mit CPR-nummer, for at det virkede. Det er vel 2-3 år siden.

Da jeg i sin tid læste datalogi på 2. del, lavede jeg sammen men en anden gut et projekt om edb-sikkerhed. Vi fandt blandt andet ud af at maksimal sikkerhed ikke gav optimal sikkerhed.

Gennemføres et system med mange forskellige ID og mange (og hyppigt skiftende) løsener, findes disse i et normalt kontormiljø nemlig hurtigst ved at trække den øverste skuffe i skrivebordet ud. Den med et ark papir til telefonnumre, og en gennemsigtig plastic-plade over.

Peter H. Rankin Hansen

> Du kan nemlig sætte et SELVVALGT brugernavn.

Jeg ringede på et tidspunkt til nemid supporten og spurgte, hvordan man slår login via CPR fra. De fortalte, at selv om du har sat et brugernavn, så kunne der stadig logges ind med CPR og at login via CPR ikke kunne slås fra. Brugernavnet er åbenbart et supplement til CPR, og ikke en erstatning.

Skal vi nøjes med at sige, at jeg ikke just var imponeret. Jeg håber, at de har lavet det om siden.

(jeg har fortsat ikke nemid, og er aldrig stødt ind i problemer af den grund)

Log ind eller Opret konto for at kommentere