Aarhus Universitet sendte CPR-numre ukrypteret i fem år

I mindst fem år har studerende på Aarhus Universitet logget ind med CPR-nummer på en ukrypteret http-side. Problemet bliver løst i dag, efter at løsningen har været undervejs i et år.

Studerende på Aarhus Universitet, der gerne vil finde en praktikplads eller en makker til en opgave, har de seneste fem år skulle logge på websiden projektzone.dk med deres CPR-nummer som brugernavn. Men login-siden har alle årene været en almindelig http-side uden kryptering.

Det er it-folkene på universitetet ikke stolte af.

»Ja, det er beskæmmende, og jeg har også haft ondt i maven over lige netop det,« lyder reaktionen fra specialkonsulent Jørgen Bak fra universitetets fælles it-driftsafdeling.

Han gjorde for et år siden websidens organisatoriske bagmænd på universitetet opmærksomme på, at det var et problem, og resultatet er, at en ny login-procedure netop i dag bliver lanceret, med https-protokol og SSL.

Ifølge Datatilsynet er CPR-numre 'højt beskyttede' personfølsomme oplysninger, og det er et krav, at personnumrene kun sendes over internettet i krypteret form. Tilsynet har adskillige gange kritiseret private og offentlige websider for netop denne fejl.

Gammel PHP-kode spændte ben

At der skulle gå et år fra Jørgen Bak opdagede problemet, til det blev løst, forklarer han med, at det ikke var så lige til at få indlagt kryptering som planlagt. Siden var nemlig skrevet i en gammel udgave af sproget PHP, som ikke umiddelbart kunne bruges efter et skift til https.

»Det var noget gammel kode, som foretager kald til en Oracle-database, og det kunne det kun gøre i klartekst. Så for at ændre det, skulle vi skifte til nyere biblioteker. Så koden skulle skrives om og tjekkes af,« forklarer han.

Projektet blev også udskudt undervejs på grund af travlhed, og i mellemtiden anbefalede han, at siden blev lukket ned. Men det var der ikke grønt lys til fra dem, der stod for projektzone.dk-ordningen.

Selvom Jørgen Bak er helt klar over, at den ukrypterede version ikke er acceptabel, peger han på, at CPR-numrene trods alt ikke blev offentliggjort på en webside.

»Den er dum, men det er dog ikke sådan en fejl, hvor vi virkeligt hænger folk ud med CPR-numre, der er frit tilgængelige for alle,« siger han.

Hvorfor den ukrypterede løsning blev valgt oprindeligt for fem år siden, kan hverken Jørgen Bak eller webmasteren hos projektzone.dk-ordningen dog hjælpe med at opklare, da ingen af dem har været involveret i projektet så længe.

Unge beskytter ikke deres personnummer
Det har i øvrigt været meget småt med reaktioner fra de studerende, og det er måske faktisk i sig selv lidt bekymrende, lyder det.

»I virkeligheden skulle folk jo gerne lære, at de skal tjekke den slags, når de opgiver deres CPR-nummer et sted,« mener han.

For nyligt blev alle universitetets websider tjekket for, om der lå nogle frit tilgængelige CPR-numre. Afsøgningen afslørede ét personnummer i det fri - og det var lagt op af en studerende selv.

»Unge i dag oplyser deres CPR-nummer til hvem som helst. Men det er jo et problem, for du kan for eksempel gå hen i en bank og sige et CPR-nummer og så få alt muligt at vide,« siger Jørgen Bak.

Slip personnumrene fri

Helst så han, at CPR-numrene fik en ny status i Danmark, så de kunne bruges af hvem som helst uden at de skal behandles som beskyttede oplysninger og uden behov for ekstra sikkerhed. Det ville så kræve, at kendskab til andres CPR-nummer ikke kunne misbruges så nemt, som det kan i dag.

»Jeg synes, man skal slippe CPR-numrene fri. Det er jo praktisk at have et nummer, der er unikt for hver person, som kan bruges af alle, og i forvejen oplyser vi det jo i mange sammenhænge,« siger han og understreger, at hans forslag ikke er et forsøg på at undskylde, at universitetet ikke havde beskyttelsen på plads på projektzone.dk.

På universiteterne landet over bliver CPR-numre brugt som studienummer, og ofte skal for eksempel opgaver, som afleveres skriftligt, være markeret med CPR-nummer. Som statslig organisation har universiteterne lov til at bruge personnumrene i administrationen, hvis de behandles forsvarligt.

Men her kniber det tit. Seneste runde af sager hos Datatilsynet viser således, at både Aalborg Universitet, Københavns Universitet og Copenhagen Business School har offentliggjort studerendes CPR-numre. Da det ikke er første gang, det sker, har Datatilsynet valgt at bede Videnskabsministeriet om at skrue bissen på over for universiteterne, så omgangen med personoplysningerne bliver mindre mangelfuld.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Uffe Kousgaard

»Unge i dag oplyser deres CPR-nummer til hvem som helst. Men det er jo et problem, for du kan for eksempel gå hen i en bank og sige et CPR-nummer og så få alt muligt at vide,« siger Jørgen Bak.

Er det ikke nærmere det der er problemet? At så mange myndigheder m.v. lader CPR nummeret fungere som identifikation / password til at udlevere alle mulige oplysninger?

Erik Cederstrand

Enig. Nummeret står på alt fra sygesikringskortet til regninger, og jeg bruger det mindst en gang om ugen i situationer, hvor andre har mulighed for at overhøre nummeret. Ikke særlig betryggende, når jeg som f.eks. i går kan ændre min pensionsordning bare ved en opringning og et CPR-nummer.

Enten er nummeret hemmeligt, som i PIN-kode-hemmeligt, og må ikke skrives ned eller oplyses til nogen, eller også er det offentligt - et unikt alias for navnet på min fødselsattest.

Hvad er min retsstilling, hvis CPR-nummeret bliver misbrugt? Det skal ifølge Datatilsynet beskyttes som hemmelige data, men alt fra vuggestuepædagoger til bibliotekarer har jo haft adgang til det nummer i over 30 år. Er de alle blevet clearet af PET?

Kai Birger Nielsen

Jeg er fuldstændig enig med Erik Cederstrand. Der er simpelthen ikke overensstemmelse mellem "Uha, det her er hemmeligt", "Vi har forresten stemplet det på alle dokumenter og kort, vi nogensinde har givet dig" og "Nå, du vil gerne donere din formue til os. Ja, bare opgiv dit cpr-nummer, så er den klaret.".

Aarhus Universitet skriver ikke bare cpr-nummer på forsiden af årskortene. Det er også påtrykt som stregkode i stil med sygesikringsbeviserne og det står sikkert også i magnetstriben. Der mangler bare lige en rfid-tag :-)

Peter Lind

Ja, man hører af og til at CPR-nummeret skal holdes hemmeligt, men hvordan kan det så være at for eksempel private virksomheder som blandt andet DSB beder om det som identifikation?
Bliver deres kontrol-afgift-blanketter arkiveret som hemmeligtstemplede data? I don't think so ...

Jon Bendtsen

At der skulle gå et år fra Jørgen Bak opdagede problemet, til det blev løst, forklarer han med, at det ikke var så lige til at få indlagt kryptering som planlagt. Siden var nemlig skrevet i en gammel udgave af sproget PHP, som ikke umiddelbart kunne bruges efter et skift til https.

Det der forstår jeg ikke helt. httpS og SSL krypterer forbindelsen imellem http serveren og webbrowseren. PHP kører udelukkende på http serveren. Jeg har lagt httpS på masser af webapplikationer. Jeg kan virkelig ikke se hvorfor der skulle være et problem.

Peter Favrholdt

Er det bare mig, eller lyder det underligt at anvendelsen af SSL er betinget af PHP-version?

Oracle databasen der kontaktes i klar-tekst sidder vel ikke ude på Internettet, men er godt gemt på Universitetets interne LAN?

I så fald kunne det være løst med en SSL proxy.

Jeg synes det lyder som om at man har vidst den er gal men udskudt at fikse det indtil der alligevel skulle opgraderes.

mvh. Peter

Liborio Cannici

Jeg har boet i 5 år i DK nu og jeg kan ikke forstå hvorfor man bruger sin CPR nummer som et password. Jeg kan ikke skifte min CPR så hvis jeg har tabt mit Sundhedskort dvs jeg er fuldstanding ruineret. Hvem som helst kan bruger min CPR til at hvad som helst. fx faregive min identiet nar man bliver stoppet på metro uden klippekort.

Hvorfor er CVR nummer offentlig disponibel ? Skal CPR være ogå offentlig disponibel, de er det samme ting.

Skal vi ikke bare stoppe at bruge vores CVR som et password? Det sindssyg at have et password du kan ikke skifte og som står i klar bogstaver præget på et plastic kort som man kan tabe...

Dennis Krøger

Er det ikke nærmere det der er problemet? At så mange myndigheder m.v. lader CPR nummeret fungere som identifikation / password til at udlevere alle mulige oplysninger?

Det er jo også det han siger lige efter:

Helst så han, at CPR-numrene fik en ny status i Danmark, så de kunne bruges af hvem som helst uden at de skal behandles som beskyttede oplysninger og uden behov for ekstra sikkerhed. Det ville så kræve, at kendskab til andres CPR-nummer ikke kunne misbruges så nemt, som det kan i dag.

Anonym

Helst så han, at CPR-numrene fik en ny status i Danmark, så de kunne bruges af hvem som helst uden at de skal behandles som beskyttede oplysninger og uden behov for ekstra sikkerhed. Det ville så kræve, at kendskab til andres CPR-nummer ikke kunne misbruges så nemt, som det kan i dag.

Det er logisk inkonsistent. cpr-nummeret er nøglen til misbrug fordi det er nøglen til borgeren. Det er Identifikationen og denne form for misbrug af persistente nøgler som skaber sikkerhedsproblemet.

Det eneste som er værre er biometrisk identifikation, så ryger bunden helt ud under sikkerheden.

Anonym

Som stort set alle i debatten påpeger er cpr-nummer systemet forældet og misbruges.

Cpr-systemet (tanken om én ide per borger på tværs) er en primitiv model fra før internettet hvor man prioriterede nogle centrale kontrolinteresser over sikkerhed og retssikkerhed fordi det var meget svært at koordinere data på tværs af systemsiloer.

Når man skal tænke fremad har vi stadig behov for en grundliggende rod-identitet til at forankre f.eks. ansvar og statsborgerskab omkring, men denne rodidentitet bør kun bruges til at skabe afledte relaterede nøgler som er formålsspecifikke.

De afledte nøgler er skabt til hver sit formål og kan trækkes tilbage hvis der sker misbrug i bestemte delsystemer eller hvis formålet med nøglen er færdigt. Sådanne formålsspecifikke identiteter kan have forskellige teniske former afhængi af formålet og det teknologiske stade - fra simple engagns transaktionsspecifikke nøgler til f.eks. en nøgle til din elektroniske patientjournal.

Det karakteristiske ved formålsspecifikke nøgler er at de ikke må være informationsbærende (er f.eks. ikke identificerende i sig selv) samt at de skal kunne udskiftes med den teknologiske udvikling, ændringer i trusselsbilledet eller blot for at imødegå banal og uønsket sammenkøring.

Strukturen opbygges via verificerede attributter, dvs. kryptografiske beviser eller verificerbart krypterede deponeringer som tilknyttes den informationsløse formålsspecifikke nøgle.

Dvs. Århus Universitet skulle som udgangspunkt have sit eget formålsspecifikke nummerserie, hvor man f.eks. afkræver formelle beviser af den studerende for at formalia ved indskrivningen er på plads, varetager basale sikkerhedsmæssige opgaver såsom ansvarlighed (betinget identifikation) og fungerer som kilde til visse attributer såsom <Studieaktiv> og <BeståetEksamen> overfor andre i samfundet.

Men i digitalt demokrati har man ikke et cpr-system i den forældede danske forståelse, hvor interessen og systemet tager magten over borgeren til skade for alle fordi ingen kan beskyttes mod misbrug. It-systemet ligger blotlagt og borgeren umynddiggøres ved at delsystemer akkumulerer risici mod vedkommende.

Identitet er kritisk infrastruktur - og den danske model er brudt sammen.

Anonym

For nu lige at understrege pointen

Vi skal bruge et struktureret identitetssystem. Men den eneste måde at beskytte systemet er ved at gøre cpr-nummeret (rodidentiteten) ubrugeligt, dvs. sikre at det IKKE indgår eller KAN bruges som nøgle til at finde, koble eller på anden måde angribe systemet og misbruge data.

Det kan i den forbindelse bemærkes at Digital Forvaltning gør det stik modsatte - de blotlægger borgeren for at kontrollere fremfor at styrke borgeren for at sikre og effektivisere.

Strukturen omkring Nem-login, OCES, DanId, m.m. er groft fejldesignet og samfundsdestruktivt. Istedet for at udnerstøtte it-udviklingen så ødelægger man applikationsudviklingen ved at ligge kontrollen centralt på en måde som hverken kan sikres eller effektivisere.

Ib Erik Söderblom

Fra det øjeblik du fødes er dit cpr-nr. kompromiteret.

Desværre Stephan, så tror jeg at de personer som kunne iværksætte bedre systemer ikke betragter "bedre" på samme vis, som vi betragter "bedre".
Sikringen af den enkelte borgers anonymitet, frihed og demokratiske rettigheder er absolut ikke i deres interesse.
Derimod er OVERVÅGNING, KONTROL og STYRING i deres interesse.
Samme holdninger, som præger det Iranske Præstestyre..., men iklædt jakkesæt.

Demokratiet er truet i sin grundvold gennem den stats/bank-styrede enkelt-id model.
Skyldes det, at de er dumme?
Manglende forståelse for det moderne demokratiske samfund?
Manglende respekt for enkeltborgeren?
Manglende evne til nytænkning (Dvs. udfordrede på intelligensen)?
Ét eller andet må der være galt, for det kan da ikke udelukkende være fordi "Det er det letteste"?

Anonym

Ib

Desværre meget enig i din opfattelse af mangel på respekt og kompetance mens interessen driver værket - det er i hvert fald svært at se bedre forklaringsmodeller for den destruktive udvikling. Der er mange i den offentlige forvaltning som gerne vil - men ikke kan og slet ikke kan bryde igennem Embedspartiets partidisciplin.

En væsentlig pointe er desværre at de ikke ser de selvskabte stadigt mere alvorlige sikkerhedstrusler og den destruktive effekt på økonomien i deres egen adfærd.

Pointen er jo ikke at anonymisere, men at forebygge brud, minimere riskoen for skalerende angreb og i det hele taget muliggøre uden at svække.

Problemet er - som med miljødiskussionen i 1970erne - den sort/hvide diktomi. Vi vil hverken have "Service uden sikkerhed" eller "Sikkerhed ved at undvære services" - vi vil have "Services MED Sikkerhed".

Per Erik Rønne

Set fra et brugerperspektiv er det nu også væsentligt at kunne nøjes med et id, så man ikke skal rende rundt med en masse kort med forskellige numre.

Det medfører blot at alle skal vide, at det at der oplyses et cpr-nummer ikke er det samme som at oplyseren skal have adgang til alskens oplysninger; at oplyse et cpr-nummer skal ikke være mere adgangsgivende end at oplyse sit navn. Der i øvrigt i mit tilfælde er lige så unikt som mit cpr-nummer ...

Død Profil

Set fra et brugerperspektiv er det nu også væsentligt at kunne nøjes med et id, så man ikke skal rende rundt med en masse kort med forskellige numre.

Man må tænke lidt ud over hvordan "ting er", men hvordan det "kan være" med de muligheder der findes. Forestil dig et kort som har alle dine "id'er", og hvor de har symbolske navne, som "mit id til lægen" - du kan selv lave et nyt id hvis der er behov for det, til nogen du ikke lige helt har tillid til endnu, med det information de har behov for. Det kunne være dig der styrede det, ikke om modtageren har lyst til at overholde reglerne og ikke misbruge de informationer der kan findes på dig.

Det er godt nok at du har et unikt navn, der er nok mange der ikke har det - selv om dit navn er unikt, kunne der være problemer med måske forkert stavning i forskellige systemer, manglende mellemnavn, osv, så man ikke kunne være sikker på at det er dig. I nogen situationer er det praktisk at være helt sikker på at det er dig (f.eks. ved medikation)

Per Erik Rønne

Nu er jeg cand.scient. i datalogi så jeg kender naturligvis til sikkerhedsmæssige problemer.

Det ændrer imidlertid intet ved at det er unødvendigt [og smadderirriterende] hvis man skal bruge forskellige id'er ved kontakt til læge, tandlæge, øjenlæge, hospital, skattevæsen, bibliotek, arbejdsgiver, skole, ...

Under alle omstændigheder er det fornuftigt at man har en entydig identifikator for alle med tilknytning her til landet, såvel borgere som metoikker [fastboende udlændinge].

Og så kan jeg tilføje at jeg på datalogistudiets 2. del sammen med en anden studerende skrev en opgave om netop sikkerhed. Vi fandt frem til at der er kraftige forskelle mellem en optimal og en maksimal sikkerhed.

Lægger man an til en maksimal sikkerhed, får man i realiteten en meget dårligere sikkerhed end man ellers kunne have fået. Det første sted man typisk skal kigge efter bruger-id og løsener på kontorerne er da også i skrivebordenes øverste skuffe, den med glaslåg og oversigt over telefonnumre - og taler vi om private vil de have en papirliste over tingene i deres tegnebog eller [mere avanceret] i et program som mSecure på deres iPhone eller anden smartphone.

http://www.msevensoftware.com/msecure.html

De mindre sofistikerede lægger dem vel bare i klar tekst i det indbyggede Noter, som er lige til at læse for enhver ...

Anonym

Jonas

Helt Enig

Per

Hmm .. du glemte vist at teste dine antagelser.
Din mobiltelefon kan sagtens holde rede på mange forskelige numre til forskellige personer, så selvfølgelig kan den også holde rede på forskellige numre for dig.

Der er flere dimensioner i problemstillingen - usability er kun et vigtigt aspekt.

Men det eneste som er 100% sikkert er at en digital verden baseret på genbrug af unikke identifiers bryder sikkerhedsmæssigt sammen - og er allerede hastigt i færd med det.

Så .. tilbage til tegnebordet.

Anonym

UBS - en mobiltelefon er selvfølgelig ikke en brugbar erstatning for et BORGERkort (som styrer dine nøgler), men tjener kun som illustration.

Der er ikke noget alternativ til client-side nøglestyring (tamperresistent og mobilt adskilt fra en computers sårbare space. Serverne er sikkerhedsmæssigt døde og det bliver kun værre.

Per Erik Rønne

En smartphone eller en seddel med brugerid/løsen er det de fleste vil holde til at holde rede på sådanne ting.

Et kort i kreditkord-format er så ganske vist også noget der er almindeligt, og bruges i dag da også på Københavns Universitet. Men et sådant ligger jo som regel i tegnebogen, og risikerer lige som en smartphone at blive stjålet.

Jeg argumenterer blot for at gøre som Jørgen Bak siger: giv cpr-numrene fri. Så burde ingen opfatte brugen af et cpr-nummer som et bevis på identiteten.

Anonym

Jeg argumenterer blot for at gøre som Jørgen Bak siger: giv cpr-numrene fri. Så burde ingen opfatte brugen af et cpr-nummer som et bevis på identiteten.

Og samtidig ville datasikkerheden og grundfundamentat for både demokrati og frie markeder bryde sammen.

God ide.

Man kunne selvfølgelg også overveje om det var på tide at nogen i ministerierne begyndte at tænke i samfundets behov fremfor kun at fokusere på at styre, overvåge og kontrollere.

Som det er i dag har vi ikke behov for terrorister til at underminere demokratiet - det klarer bureaukraterne på glimrende vis.

Anonym

Nej, men det er både kilden til magt og nøglen til angreb.

Du vil blotlægge samfundets vigtigste aktiv uden at sætte noget i stedet. Din trusselmodel er ganske enkelt alt, alt for primitiv og ser kun de mest overfaldiske sikkerhedstrusler.

Hvis du virkelig vil tage den diskussion, så fokuser på biometri som sætter diskussionen på spidsen og virkelig udfordrer os til at blive skarpe på pennen.

Den eneste sikring mod bioemtri er at sikre at den ikke kan henføres til personen og ikke må opsamles fordi du kan ikke få nye nøgler og ikke kan beskytte dig mod hverkan angreb eller biometrisk baseret identitetstyveri (forfalskning af biometri).

Prøv selv - før du slår op på nettet - at finde mindst 10 argumenter for hvorfor ICAO-standarden for pas er en katastrofe uden at sikre nogen mod noget.

Anonym

Hvis det danske cpr-system er national id version 1.0, det østrigske med sektorspecifikke nøgler er national Id verison 1.1, så skal vi til version 2.0 hvor du har MANGE cpr-nøgler strukturet og senere version 3.0 hvor vi skaber semantisk interoperabilitet mellem alle potentielle id-systemer.

Pointen er den enkelte at det danske cpr-system er forældet og man skal fokusere på at reparere det fremfor at lade det bryde helt sammen.

Af utroligt mange relavante problemstillinger følg lidt med i debatten omkring voldsramte kvinder som forfølges af deres eks-mænd.

Den eneste måde at sikre transaktioner i en digital verden er helt at undgå identifikation, men nøjes med formålsspecifikke beviser m.m.

Prøv at læse sidste kapitel her
http://www.taenk.dk/overvaagning/ny-bog-de-overvaagede/

Log ind eller Opret konto for at kommentere