900.000 danske CPR-numre lagt til frit skue - downloadet 18 gange

3. juli 2014 kl. 10:5356
Onsdag lagde Økonomi- og Indenrigsministeriet 900.000 danskeres CPR-numre frem ved en fejl. Ifølge CPR-kontoret blev dataene downloadet 18 gange.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Økonomi- og Indenrigsministeriet stod onsdag bag en alvorlig datalækage, da 900.000 danske CPR-numre lå til frit skue på den såkaldte Robinsonliste. Det skriver Børsen.

Robinsonlisten er et register, der bruges til at registre borgere, som ønsker markedsføringsbeskyttelse mod opkald fra telefonsælgere og reklamer med navn og adresse. Lækagen blev opdaget af Finn Gilling fra firmaet Gilling ApS, som arbejder som statens distributør af ejendomsoplysninger. Samtlige personer på Robinsonlisten var lagt frem med CPR-numre.

Han kontaktede med det samme CPR-kontoret, som senere på aftenen sendte ham en besked om, at listen var taget ned. Finn Gilling, som til daglig arbejder med personfølsomme data, siger til Børsen, at han betragter det danske CPR-system som så kompromitteret, at et CPR-nummer alene ikke længere bør kunne benyttes til nogen former for online-transaktioner.

CPR-kontoret, som bestyrer den centrale database, har sendt følgende besked ud til alle abonnementer på Robinsonlisten - uden at nævne problemet med læk af CPR-numre:

Artiklen fortsætter efter annoncen

»Den 2. juli 2014 ca. kl. 14.51 blev Robinsonlisten for 2. kvartal lagt på CPR-kontorets hjemmeside. Ved en beklagelig fejl var filen i et forkert format og indeholdt fejl. CPR-kontoret fjernede listen ca. kl. 15.40. Listen er downloadet 18 gange inden for nævnte tidsrum.«

»Såfremt listen er downloadet i den nævnte periode, skal listen og eventuelle kopier heraf destrueres. Hvis listen er videreformidlet til andre, skal de vedkommende tillige straks kontaktes med besked om, at listen skal destrueres. I givet fald skal CPR-kontoret oplyses om, til hvilke personer listen er videresendt med henblik på CPR-kontorets kontakt til vedkommende for at sikre, at listen er destrueret. De virksomheder, der har downloadet Robinsonlisten i den ovennævnte periode, bedes inden kl. 16 i dag rette henvendelse til CPR-kontoret på [slettet] med oplysning om, at listen er destrueret.«

Version 2 følger sagen.

56 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
54
7. juli 2014 kl. 14:33

https://cpr.dk/kunder/kundeadgang/cpr-direkte-pnr-opslag-for-private/"Af sikkerhedsmæssige årsager er password til Robinsonlisten ændret. Kontakt venligst CPR-kontorets kundecenter..." Men uanset hvilket menupunkt man går ind på, er det åbenbart kun koden til Robinson listen der er ændret? Eller har de bare sprunget over hvor det var lettest og skiftet kode, men bruger stadig samme kode til alle virksomheder? Hvorfor så skifte?

43
3. juli 2014 kl. 21:58

De kan da udelukkes via nofollow. Det virker da udemærket?

39
3. juli 2014 kl. 20:00

Og samtlige omkostninger, inkl timepris til ofrene for den tid de skal bruge på denne ulejlighed, betales af CSC.

40
3. juli 2014 kl. 20:58

.. og hvad er det lige det skal forhindre på sigt?

41
3. juli 2014 kl. 21:09

ID tyverrig. Det er den konkrete bekymring for ofrene på listen.

35
3. juli 2014 kl. 16:17

Lad os da droppe CPR ( eller enhver anden speciel identifikation ) - så kan vi nøjes med Navn og Adresse, og behøver kun telefonbogen til identitetstyveri ( eller navneskilt på postkassen ). Hvis man bruger noget andet end f.eks. NemId eller lignende med engangskoder, vil den man identificerer sig overfor jo kunne bruge det til identitetstyveri.

32
3. juli 2014 kl. 14:24

Ferieliv i sandkassen!! Mig en gåde hvorfor der i det hele taget er brug for en liste. Et nejtak skilt burde være nok kombineret med tal om hvor mange husstande der i et område ønsker at modtage reklamer. En liste oplyser jo også en del om politisk tilhørsforhold, uddannelse og indkomst. Og nu med cpr nummer. Telemarketing kan klares med en omvendt Robinson, hvor alle telefonnumre der bruges til telemarketing skal ligge ude og nemt kan blokeres.

31
3. juli 2014 kl. 14:06

Såfremt listen er downloadet i den nævnte periode, skal listen og eventuelle kopier heraf destrueres

Hvordan destruerer man en elektronisk downloadet liste?

Filen kan allerede nu ligge i proxy servere, på backup bånd, disk snapshots, osv. Måske allerede importeret i databaser hos virsomhederne som benytter disse data. For ikke at tale om eventuel ondsindet spredning.

30
3. juli 2014 kl. 13:49

Eftersom ingen selvsagt burde bruge CPR til authentication, så burde det ikke udgøre noget potentielt problem at offentliggøre alle danske CPR-numre. Det ville tvinge eventuelle firmaer og offentlige instanser, der i dag alligevel bruger CPR til authentication, til at ændre deres procedurer ret hurtigt. Og det ville gøre det klart for hr og fru Jensen, at CPR ikke er et hemmeligt, magisk nummer. Og så burde den ged egentlig være barberet.

25
3. juli 2014 kl. 12:54

Er vi ikke enige om at det er abonnenter på Robinsonlisten, som har haft mulighed, gemmen deres respektive logins, til at hente listen?

Systemet er overvåget, og at der har været kontakt til de, som har hentet listen.

Der er ikke tale om frit tilgængelig på nettet... endnu!

27
3. juli 2014 kl. 12:58

Så længe den sendes via HTTP er listen vel præcis lige så hemmelig som ukrypterede e-mails, postkort og deslige. Alene det grænser vel til lemfældig omgang med personfølsomme data.

24
3. juli 2014 kl. 12:52

at det bliver nemt at finde et sted at sende regningen til, for omkostningerne ved retablering efter et identitetstyveri...

29
3. juli 2014 kl. 13:07

Bestemt ikke alt, kan gøres op i penge, men meget kan, og det er nu engang nutidens kompensationsmulighed, når der er lidt skade - til forskel fra tidligere tider - og visse samfund, hvor hævn og vold, var / er svaret.

21
3. juli 2014 kl. 12:25

Der er behov for, at den liste gøres offentligt tilgængelig. Kun på den måde får vi stoppet galskaben med et identifikationsnummer, der skal holdes hemmeligt. Det er simpelthen dumt på linie med at skulle holde sit telefonnummer eller email-adresse hemmelig. Det giver ingen mening.

20
3. juli 2014 kl. 12:20

Det kan man kalde ferieliv i sandkassen!! Mig en gåde hvorfor der i det hele taget er brug for en liste. Et nejtak skilt burde være nok kombineret med tal om hvor mange husstande der i et område ønsker at modtage reklamer. En liste oplyser jo også en del om politisk tilhørsforhold, uddannelse og indkomst. Og nu med cpr nummer.

18
3. juli 2014 kl. 12:17

Er jeg den eneste der vil vide om den bliver overført med SCP/SSH eller FTP?

Version2, kan I ikke spørge lidt ind til det?

42
3. juli 2014 kl. 21:32

Er jeg den eneste der vil vide om den bliver overført med SCP/SSH eller FTP?</p>
<p>Version2, kan I ikke spørge lidt ind til det?

Den downloades herfra: https://cpr.dk/kunder/kundeadgang/robinsonlisten/

Men hvorfor der overhovedet er password på er lidt et mysterie. Man får adgang ved at sende en email og bede om det. Alle der sender breve med marketing skal have listen, så du bliver ikke nægtet adgang.

Mit bedste bud er at man ikke ønsker at søgemaskiner skal indeksere listen.

23
3. juli 2014 kl. 12:50

Er jeg den eneste der vil vide om den bliver overført med SCP/SSH eller FTP?

Til orientering kan listen hentes via HTTP, uden S, når brugerne henter den fra cpr.dk

22
3. juli 2014 kl. 12:40

Er jeg den eneste der vil vide om den bliver overført med SCP/SSH eller FTP?

Jeg tror ganske enkelt blot at den overføres over alm HTTP, uden at vide noget om det - rent principielt er der jo tale om en liste, som alle firmaer faktisk SKAL bruge, hvis de vil markedsføre sig uden at træde nogle over tæerne - dermed er den jo offentlig. Problemet er "bare" denne gang, at de har opdateret listen, uden at rense den for "unødige" data....!

17
3. juli 2014 kl. 12:14

Trine Bramsen er på banen (igen) Fra B.dk

»Udfordringen omkring CPR-numre er ikke CPR-nummeret i sig selv. Det er vi jo glade for, når vi for eksempel ligger i ambulancen eller på hospitalet. I sundhedsvæsenet er vores CPR-nummer en rigtig god og brugbar identifikation af borgeren, også til at finde ud af hvad der ligger af tidligere hændelser,« siger Trine Bramsen.</p>
<p>Udfordringen ligger i, hvordan CPR-nummeret bruges, understreger retsordføreren.</p>
<p>»Og der har vi et meget stort fokus på at få virksomhederne til at forstå, at de ikke må godtage CPR-nummeret som identifikation af en borger,« siger hun og foreslår:</p>
<p>»Virksomhederne kan ringe borgerne op eller bruge adresseoplysninger og andre matchende oplysninger«.

Det er påfaldende, at hun ikke kender forskellen på identifikation og legitimation. Det er for hende åbenbart OK at sundhedsvæsenet bruger CPR som identifikation uden legitimation, men andre (private) må ikke. Det vigtige her er, at en gang for alle at fastslå, at CPR (kun) er en entydig nøgle knyttet til en person. Kendskab til nøglen legitimerer ikke adgangen til data uden tilladelse fra personen med passende legitimation.

33
3. juli 2014 kl. 14:59

Det er såkaldt gyldig billedlegitimation. Pas, kørekort eller ID-kort, som kan fås på borger.dk for 150,-.

Hvis du ikke har et pas eller et kørekort, og har brug for at kunne legitimere dig, kan du få udstedt et ID-kort

44
4. juli 2014 kl. 15:36
51
7. juli 2014 kl. 13:01

Ja Christian, men det havde du vel gættet. Jeg havde ikke lige set 'prellet' på s'et.

46
5. juli 2014 kl. 16:55

Nej men så har du svært ved at legitimere dig.
Sundhedskortet (CPR-nummer-kortet) er ikke et gyldigt legitimationskort. Det er jo netop det, der er hele misseren.
Læs <a href="https://www.borger.dk/Sider/Udstedelse-af-ID-kort.aspx">https://www.bor…;

Et sundhedskort + muligvis personligt fremmøde hos Borgerservice kan give dig et "ID kort". Sikkerheden omkring disse "ID kort" følger det generelle (lave) niveau hos det offentlige.

47
5. juli 2014 kl. 17:40

Et sundhedskort + muligvis personligt fremmøde hos Borgerservice kan give dig et "ID kort". Sikkerheden omkring disse "ID kort" følger det generelle (lave) niveau hos det offentlige

Hvis du nu havde læst forudsætningen for at få et ID-kort. Møde på Borgerservice med foto samt

Du skal derudover medbringe enten din originale dåbsattest, fødselsattest, navneattest eller pas sammen med ansøgningsblanketten, som du henter her på siden

16
3. juli 2014 kl. 12:12

Hvis vi levede i en retstat, så var alle lige for loven - også embedsmænd. Men det gør vi ikke! Det er kun almindelige provokerende borgere (budbringerene)der straffes. De regerende politikere lytter kun til borgerne (vælgerne) i valgkampen. Resten af tiden skal borgerne holde kæft og rette ind, også når de opdager ulovligheder og påviser løftebrud og ligegyldighed blandt de valgte! Det er deprimerende!Den eneste trøst er at det nok er værre i andre lande.

14
3. juli 2014 kl. 12:09

…så vil kommentarerne fra ordførerne være i nærheden af “Jamen når borgerne bruger google og facebook, så overgiver de også en masse information, som alle og enhver kan købe sig adgang til. Så jeg kan ikke se hvad problemet er…”.

Selvfølgelig med undtagelse af Jeppe (Jeppe hvor er du) Mikkelsen, som godt kan se problemet og derfor skriver et bekymrende indlæg og så håber at nogen vil tage sig af det...

13
3. juli 2014 kl. 11:57

Hvordan hænger dette sammen ? Troede at Robinsonlisten var et "internt" register over folk der IKKE ville spammes ! Altså en register der bliver fratrukket under listegenereringen når man danner lister over folk der gerne vil spammes !

8
3. juli 2014 kl. 11:45

Hvis man ved at listen er downloadet 18 gange, så har man nok også 18 tilhørende IP adresser. Så burde det ikke være så svært at gætte på hvem der er hvem. Og hvis download er med individuelt brugernavn/password (hvilket det vel bør være hvis data ikke er offentlige), så ved de også hvem der har downloadet.

17
3. juli 2014 kl. 12:12

Og hvis download er med individuelt brugernavn/password (hvilket det vel bør være hvis data ikke er offentlige), så ved de også hvem der har downloadet.

Det er ikke individuelt.

12
3. juli 2014 kl. 11:57

så ved de også hvem der har downloadet

Så hvis Coop, Bilka eller Postdanmark har hentet listen, så vil en mail til dem forhindre at listen ikke bliver set af nogen, videresendt, kopieret eller på anden måde gemt.

De anklaget i CSC sagen kan vel snart blive frifundet, da det som de anklaget for at hente ligger til fuld offentligt download.

10
3. juli 2014 kl. 11:51

Det er jo ikke det der er problemet. Skid da hul i hvem der har fået informationen. Problemet er at de fik den til at starte med!

7
3. juli 2014 kl. 11:20

Er man kontraktligt forpligtet til at kunne trække en liste tilbage på den måde, hvis man henter den fra deres website? Og CPR-kontoret har sendt en besked til alle anonenner på listen? Har de ikke også tænkt sig at kontakte ofrene og fortælle at de har gjort noget dumt?

Og er cpr-nummer overhovedet nødvendig for den service? Er det ikke bare en adresse, der bliver registreret som værende verboten i en given periode for afsendere af spamreklamer?

5
3. juli 2014 kl. 11:17

Nå, lad os se hvem af politikerne der anmelder Økonomi- og Indenrigsministeriet for offentliggørelsen af CPR numre. De var jo hurtige til at gøre det i sagen om deres egne CPR numre.

15
3. juli 2014 kl. 12:09

Jeg har lige sendt min politianmeldelse af Økonomi- og Indenrigsministeriet af sted.

Den skal sendes til Københavns Politi, kbh@politi.dk, siden ministeriet har sæde i København.

4
3. juli 2014 kl. 11:16

Med alt den omtale der har været om cpr numre og opbevaring, så er det helt igennem imponerende at der sker et læk igen. De danske ipnumre som har downloadet burde være til at spore, men den smarte ville nok hente listen fra en eller anden udenlandsk virtuel server instans på en free trial fra en gratis email konto og hvor vedkommende har brugt et offentligt wifi net.

3
3. juli 2014 kl. 11:14

Version2 kan passende spørge CPR lidt ind til, hvordan der holdes styr på, hvem der henter listen hvornår.

2
3. juli 2014 kl. 11:12

Hvis ikke denne sag kan få politikerne til at indse at CPR kun kan bruges til at identificere entydigt hvem man er, på linie med ens fulde navn og bopæl, og ikke er et hemmeligt ID, som er nok for at bevise at man er den, man udgiver sig for, så er det vist en tabt kamp.....!

9
3. juli 2014 kl. 11:48

Hvis ikke denne sag kan få politikerne til at indse at CPR kun kan bruges til at identificere entydigt hvem man er, på linie med ens fulde navn og bopæl, og ikke er et hemmeligt ID, som er nok for at bevise at man er den, man udgiver sig for, så er det vist en tabt kamp.....!

Det kan man sagtens få politikerne til at indse. Margrethe Vestager har erkendt, at CPR nummeret kun er en identifikation.http://www.version2.dk/artikel/vestager-personnummeret-er-en-fortrolig-oplysning-men-vi-skal-hverken-betragte-det-som-et

Problemet bliver, at få politikerne til at indse, at CPR nummeret i praksis bliver brugt til autentifikation. Hvis man både kan oplyse sit navn og sit CPR nummer, så er man den, man siger at man er, og så har man legitimeret sig. Herefter kan man enten indgå aftaler eller få udleveret eller verificeret oplysninger.

Forsvarerne af CPR nummeret siger så, at der er sket et misbrug af CPR nummeret, og derfor vil den eller de, der har misbrugt det, kunne straffes. Det er dog en ringe trøst for den, hvis oplysninger er blevet udleveret, for trods sanktionsmulighederne er der ingen mulighed for at tilbagekalde de udleverede oplysninger.

1
3. juli 2014 kl. 11:11

Listen indeholder vel både navn og adresse. Det må være en identitetstyvs drøm at få fat i en list med næsten en million danskeres oplysninger.

Helt ufatteligt inkompetent, men det får nok ingen konsekvenser :-(

36
3. juli 2014 kl. 17:25

Igen igen, fristes man til at sige. Jeg har iøvrigt været medlem af Robinsonlisten i mange år, fordi jeg blev træt af ivrige telefonsælgere. Dette er dog langt fra en garanti for, at det bliver overholdt. De pågældende firmaer er ellers forpligtet til at hente listen for at kunne respektere folks ønske om. .privacy. Da jeg for 10 gang blev ringet op af en gut, en rep fra illustreret videnskab, valgte jeg at anmelde forløbet til ombudsmanden, efter gældende regler. Efter måneder fik jeg den besked, at det måtte de så sandelig ikke. På trods af muligheden for bødestraf, kunne ombudsmandens sekretariat fortælle at der desværre ikke er ressourcer til at behandle sagen og dermed kontakte illustreret videnskab. Men de beklagede. Hvad hjælper en sådan ordning, når man uden konsekvens gentagne gange kan træde ved siden af. Jeg overvejer kraftigt at melde mig ud. Det fungerer jo ikke alligevel. Jeg har bare endnu et sted. .med mit cpr nr..

55
10. juli 2014 kl. 16:22

Jeg forestiller mig at ham der normalt genererer listen er gået på ferie og at de har sat en junior-udvikleren på jobbet, som så har fucket op..
Jeg antager at listen ikke er auto-genereret, for så var fejlen næppe opstået?

"Junior-udvikleren"?? Der er tale om en liste, som bliver gjort tilgængelig for abonnenterne en gang i kvartalet. Er der virkelig nogen der forestiller sig, at CSC koder registerudtrækket fra grunden hver gang? Nej, det er naturligvis et standardprogram, som CPR-kontoret rekvirerer med et par tastetryk. Jeg forestiller mig, at det findes i to udgaver, hvoraf den, som indeholder CPR-numre, kun er til internt brug. Nogen må så have trykket på den forkerte tast, og ingen har kontrolleret om listen så ud som den plejer. Det har CPR-kontoret garanteret allerede strammet op på.

I øvrigt: Den type virksomheder, som vælger at abonnere på Robinsonlisten, forekommer mig at være folk med en vis etisk standard, forudsat at det ikke er en tvungen ordning for alle der beskæftiger sig med telefonsalg o.lign. Der burde derfor ikke være overhængende risiko for, at nogen af de 18 modtagere har skyndt sig at lægge listen ud til offentlig beskuelse. Måske er jeg lidt naiv, men det er altså ikke altid de paranoide, der har ret!