Anonymous slår til i Danmark: Vi har hacket CPR.dk og Atea

6. november 2012 kl. 13:3029
Hackergrupperingen Anonymous hævder at have brudt ind i det Centrale Personregister og hos it-virksomheden Atea. Ingen læk af personfølsomme data, siger CPR selv.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Den internationale hackergruppering Anonymous hævder i en meddelelse på hjemmesiden Pastebin.com at have hacket sig ind på hjemmesiden for det Centrale Personregister, CPR.dk, og derigennem fået fingre i personfølsomme oplysninger om danskerne.

Gruppen hævder samtidig at være kommet i besiddelse af oplysninger fra den danske it-virksomhed Atea A/S.

»Sikkerheden i Danmark er en joke, og det accepterer vi ikke. Derfor viser vi jer nu, hvad det er, vi taler om,« hedder det i meddelelsen fra Anonymous.

It- og CPR-afdelingen i Økonomi- og Indenrigsministeriet bekræfter over for Version2, at et angreb har fundet sted, men nedtoner alvoren af det.

Artiklen fortsætter efter annoncen

»Jeg kan bekræfte, at der har været nogen inde på CPR.dk, men hjemmesiden indeholder ikke personfølsomme oplysninger. Selve CPR-systemet har ikke været genstand for hacking,« siger kontorchef i Økonomi- og Indenrigsministeriet Carsten Grage til Version2.

CSC, der har ansvaret for driften af CPR-systemet, vil ikke udtale sig om kundesager over for Version2, men henviser til Økonomi- og Indenrigsministeriets forklaring.

Hacket på grund af vandværkskunde

Af meddelelsen fremgår det også, at ingen af de persondata om danskerne, som gruppen hævder at have taget fra CPR, er blevet lagt ud på nettet.

»Vi er ikke imod jer (borgerne, red.), men vi gør, hvad der er nødvendigt, før andre med dårlige hensigter gør det samme og ødelægger jeres privatliv.«

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

It-virksomheden Atea beskæftiger sig blandt andet med it-sikkerhed, og det er årsagen til, at Anonymous har haft den i kikkerten, fremgår det af meddelelsen.

»I de seneste par måneder har den danske regering erklæret cyberkrig og vendt nogle af vore egne imod os og brugt medierne til at spinne historier om hackeres evner til at angribe vandværker,« skriver Anonymous således og fortsætter:

»Men her kommer der et 'fun fact'. Atea i Danmark har it-sikkerhed i deres produktportefølje, og en af deres kunder er, ja, I har måske allerede gættet det - et vandværk,« hedder det i meddelelsen, som samtidig opfordrer Atea til at tjekke efter, hvor meget der er blevet opsnappet fra virksomhedens VPN.

Sikkerhedskonsulent: Tag det med et gran salt

Ifølge Peter Kruse, konsulent i it-sikkerhedsfirmaet CSIS, skal alle oplysningerne dog foreløbig tages med et gran salt.

»Indtil videre ved vi i virkeligheden lige så meget som jer, og det går på en masse påstande om hacks, hvor man har dumpet nogle tabeller fra CPR og nogle databasestrukturer fra Atea. Nu må vi afvente og se, om der bliver frigivet mere, men umiddelbart ser det lidt tyndbenet ud,« siger Peter Kruse til Version2.

Version2 afventer en kommentar fra Atea.

Emner
29 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
29
Linda Tjørndal
9. november 2012 kl. 07:47

beklager men jeg tror ikke rigtig på det, har selv arbejdet der i en 2 år og atea navngiver aldrig deres servere efter ovenstående, tværtimod kunne det lige så godt være en sur X meda. med insider viden der bare påstår han har lækket noget.. og jeg ved sikkerheden er højeste prioritet. at nedlægge en hjemmeside er nemt nok men at få data.. nix det er varm luft det der!

  • more_vert
    • insert_linkKopier link
25
Carsten Hahn
7. november 2012 kl. 19:53

Jeg tvivler også på at de rent faktisk har fået fat i cpr data hos cpr.dk og det er nok heller ikke den nemmeste at få adgang til. Jeg er mere bekymret for alle de sites som har online adgang til cpr.dk og som via den adgang laver abonnement på de cpr numre de har "adkomst" til. Disse små kopier af (dele af) cpr databasen er nok noget nemmere at ramme.

  • more_vert
    • insert_linkKopier link
21
Simon Jensen
7. november 2012 kl. 12:04

De danskere som gemmer sig bag navnet anonymous er ikke andet end en flok teenagere. Det kan man jo tydeligt se på deres ops og deres resultater. Næppe nogen som skal tages seriøst...

  • more_vert
    • insert_linkKopier link
22
Thomas Ehler
7. november 2012 kl. 12:26

;-) Jeg synes nu de skal blive dernede. Så gør de ingen skade så længe. Tænk hvis de ræsede rundt i stjålne biler eller lavede fysiske indbrud. Så ville der der være overhængende fare for at nogen, måske endda andre end de selv, kom til skade. Nu bliver den samlede skadesliste begrænset til lidt musearm...

  • more_vert
    • insert_linkKopier link
18
Mikael Ibsen
7. november 2012 kl. 09:36

at enhver oplysning, man afgiver til en elektronisk database, rent principielt med denne handling bliver offentliggjort. Spørgsmålet er kun, HVORNÅR den bliver almen tilgængelig.

Uanset hvor meget man forsøger at spærre for uautoriseret adgang, vil der altid på et tidspunkt ske tekniske eller menneskelige fejl, sommetider suppleret med angreb fra yderst entusiastiske personer, som ikke går hjem kl. 16.00...

Sommetider har det mærkbare konsekvenser - sommetider ikke.

Også sabotage fra utilfredse eller politisk engagerede personer med lovlig adgang til databaser er en til enhver tid eksisterende trussel.

Kort sagt: Fuld datasikkerhed er et ikke eksisterende begreb.

  • more_vert
    • insert_linkKopier link
19
Daniel Madsen
7. november 2012 kl. 10:18

Uanset om data er kompromitteret i denne omgang eller ej, så er det en trussel vi som samfund er nød til at tage mere alvorligt - hvis alle CPR oplysninger bliver offentliggjorte så har vi et kæmpe problem.

Det er jo ekstremt bekymrende at CPR databasen tilsyneladende ligger på samme server som en lang række mere eller mindre bekymrende databaser som

"forsøgsprojekter", "Metatraffic", "designguide", "detnyedanmark", osv.

Hvorfor er den database ikke på sit eget netværk hvor der kun er åbent for en API adgang til?

Hvis man udvikler en betalingsløsning så er der krav om PCI certificering i varierende grad - vil man eks. lagre kortdata stilles der store krav til både medarbejdere, fysiske serverlokaler og IT infrastruktur.

Men hvis man er det offentlige der skal lagre hele Danmarks identitetsdatabase så er det åbenbart intet problem at så kritiske data placeres på en server som bruges til 117 andre formål og som formentlig ikke engang er afskærmet på eget netværk...

Listen bekræfter desværre meget godt ens værste fordomme om hvordan tingene foregår indenfor denne type organisationer, så den er nok desværre god nok - tvivler på nogen er kreative nok til at fake denne database-oversigt.

  • more_vert
    • insert_linkKopier link
24
Henrik Kramselund
7. november 2012 kl. 17:57

Det er jo ekstremt bekymrende at CPR databasen tilsyneladende ligger på samme server som en lang række mere eller mindre bekymrende databaser som

gør den det?

er du sikker på det?

pastebin indlægget identificerer target som "[+] TARGET CPR.DK" - ikke specifikt om det er www.cpr.dk eller hvilken server data kommer fra (her ville mange andre hacklogs/dumps af data ofte indeholde den slags interne oplysninger som "bevis" for at man havde adgang til den). Vi får ligeledes "bare en liste over databasenavne" - som kunne være opdigtet.

Jeg ser mange mange kunder idag som har en ekstern hosting provider til at styre serveren med websiden, uden at samme har fuld adgang til virksomhedens andre data. Jeg ser det derfor som værende meget muligt at www.cpr.dk muligvis kun er et CMS med præsentation af virksomheden.

Så jeg stiller mig meget skeptisk overfor hvor langt de reelt er kommet i infrastrukturen hos CPR. Hvis nogen har lavet løsninger med opslag i CPR, så fortæl meget gerne hvorledes dette foregår. Jeg kunne godt forestille mig at man ofte skal bruge VPN forbindelse a la Sundhedsdatanettet https://www.medcom.dk/wm110002

Spørgsmål som jeg gerne ville stille til dem der kender og bruger CPR mere end mig, hvordan sker opslag typisk? Sker det via HTTP/HTTPS, hvad hostnavn bruges? er det www.cpr.dk eller noget helt andet. Er der begrænsninger på hvor mange opslag man må lave pr døgn, pr time eller lignende.

  • more_vert
    • insert_linkKopier link
26
Henrik Biering
7. november 2012 kl. 21:22

Spørgsmål som jeg gerne ville stille til dem der kender og bruger CPR mere end mig, hvordan sker opslag typisk?

Der er faktisk rimelig dokumentation på siden under de enkelte tjenester: https://www.cpr.dk/cpr/site.aspx?p=76

Hvad angår CPR-Direkte blev en varslet 5 minutters nedetid mandag morgen kl. 9.00 (tidspunktet for en sådan planlagt nedetid kan vel undre?!) til 2 timers nedetid. Men efterfølgende under angrebet på cpr.dk oplevede jeg ikke nogen problemer med tjenesten.

  • more_vert
    • insert_linkKopier link
20
Mikael Ibsen
7. november 2012 kl. 11:38

Ikke hvis, men når !

  • more_vert
    • insert_linkKopier link
17
Søren Hansen
6. november 2012 kl. 20:21

De har intet - heller ikke denne gang. De går efter medie opmærksomhed - og vi æder den, hver gang!

Det som sker nu, er nøjagtig det sammen som da frontend serverne ved statsforvaltningen, patentstyrelsen og en eller anden tilfældig frimureorden blev kompromitteret. Man bryder ind i en frontend serveren, men mangler evnerne til at komme længere ind - så man finder på en god historie og medierne hopper på den.

  • more_vert
    • insert_linkKopier link
16
René Nielsen
6. november 2012 kl. 19:16

Til Emil Moe

Tro du kun at det teenagere der er i Anynomous, det tro jeg ikke og jeg tro også nogle af dem har rigtig gode jobs indenfor it

Jeg tro at nogle personer flere gang intern har advaret at der var et problem i f.eks cpr systemet, og hvis man så ikke vil hører så må man føle.

Og ved du endeligt hvor dårligt de offentlige systemer er overvåget ??? De rigtig dårligt overvåget, jeg kunne fortælle dig nogle historier , det ville få det til at løb koldt ned af ryggen på de flest, der skal siges at jeg ikke har noget med Anynomous at gør, for at slå det fast.

Men det med at en bruger af et system , ringe og fortæller at der er et problem er ikke første gang og det fortælle rigtig meget om hvor godt det automatisk overvågning virker eller mangel på samme.

Jeg synes det helt ok at Anynomous fortælle at de fået adgang og at de kunne have gjort noget der var være med systemet, hvis de ville, det værste kunne jo være at de ikke gjort det og at de bruge den bagdør år ud og år ind.

Det fortælle at de har lidt stil over Anynomous, og at den der har ansvar på f.eks cpr , her tændes ikke på Atea, CSC, KMD men dem der sidder på penge i cpr at de skal have nogle op af lommer for at betale de før nævnte til at sikker systemer noget bedre.

Men få hvad man betaler for, og de offentlige it systemer herunder ledelse , går mange af penge til møder og med at flytte aben rundt i stedet for at gør noget ved aben.

  • more_vert
    • insert_linkKopier link
27
Finn Christensen
8. november 2012 kl. 03:51

Jeg tro at nogle personer flere gang intern har advaret at der var et problem i f.eks cpr systemet, og hvis man så ikke vil hører så må man føle.

I 1970'erne var CPR-numre endnu et følsomt politisk emne.

Oprindelig blev vi fortalt, at CPR-nummeret skulle være et INTERNT journalnummer i den offentlige forvaltning, som ville lette forvaltningens indbyrdes kommunikation og sikkerhed mht. identifikation af bestemte borgere og deres sager.

I 1977, vægrede flere kommuner sig i lang tid mod at udlevere private oplysninger til et centralt personregister, indtil de med dagbøder blev tvunget til at give efter..

Ifølge Merklin røber Indenrigsministeriets materiale detaljerede planer, der er gearet til en omfattende udbredelse af kortet ved kontakt til alt fra sygesikring til internet. Kopier af pin-koderne tænkes deponeret i såkaldte nøglecentre, så politiet kan gå hen og hente nøglen og i fred og ro aflytte vores meddelelser. Der bliver udviklet programmer, som går ind og lytter med på internettet, og hver gang der kommer noget, man er interesseret i, tapper man nettet og kopierer meddelelserne til brug for politi eller efterretningstjeneste. (Tidl. ansat i Fin.min., cand.polit. Jussi Merklin)

NB! Beskriver herover er i datidens sprog og verden.

Allerede fra 70'erne var problematikker med CPR, følsomme data, misbrug, læk fra offentlige/centrale systemer, registersamkøring etc., samt 1980-1990'erne var det vi nu kender som NemID påtænkt.

Den officielle version til borgerne fra tinge var lige modsat hverdagens virkelighed 20 år efter.. søg selv i medierne fra før internettet.

Jeg kendte dengang også ovenstående via 'signaler på de interne vandrør'.. ;)

  • more_vert
    • insert_linkKopier link
15
Thomas Ehler
6. november 2012 kl. 18:53

Jeg vælger at se positivt på det. De slår ikke mine børn ihjel i trafikken, så længe de sidder der bag skærmen og prøver at finde noget at booste deres ego med!

  • more_vert
    • insert_linkKopier link
14
Emil Moe
6. november 2012 kl. 17:59

Jeg håber en dag alle de indvolverede i Anynomous får deres straf, for den eneste trudsel jeg har bidt mærke i den seneste tid er dem! Vil de tages seriøst og ikke betragtes som nogle forstyrrede teenagere (det er i hvert fald mit syn på dem, og ikke mindst når de skriver ting som "priv8"), så skulle de måske bevise, at de rent faktisk evner noget og starte et sikkerhedsfirma op, der sagligt kritiserer generelle standarder. Det er lykkedes godt for KasperSky, men knap så godt for Anonymous.

Det svarer vel lidt i grunden til, at stille sig ned på gaden og skyde løs med en automat riffel og bagefter beskylde politiet for ikke, at være pro aktive nok. Sådan nogle typer skal helst holdes langt væk fra samfundet og så er det sagt pænt.

  • more_vert
    • insert_linkKopier link
12
Camilla Ley Valentin
6. november 2012 kl. 16:25

i hvert fald hos mig, er cpr.dk nu nede på samtlige browsere...

  • more_vert
    • insert_linkKopier link
10
Pelle Nielsen
6. november 2012 kl. 16:00

Vi har ytringsfrihed i Danmark, men der følger også et ansvar med det. Man kan ikke være anonym, hvis budskabet skal havde vægt. Så når nogle ”Anonymous” påstår at det er få vores eget bedste, skal man spørge sig selv Hvem, Hvad, Hvor? Personer som flirt med noget så udemokratisk metoder, på grund af følelser om Davids kamp mod den store onde Goliat, skal være mere eftertænksom. I den bedste filmstil, inspireret af V, kommer med deres budskaber de glemmer bare at V var et værktøj/redskab, som gik til grunde under processen og ikke en/flere grupperinger af personer, med forskellige interesse.

  • more_vert
    • insert_linkKopier link
23
Henrik Kramselund
7. november 2012 kl. 17:45

Man kan ikke være anonym, hvis budskabet skal havde vægt.

Du kan snildt være anonym, og det betyder blot at mange ting er sværere, kildekritik gør eksempelvis at man nødvendigvis må være mere varsom med indholdet. Mht. vægten så skal den blot være stor nok til at man gør noget - og om ikke andet så har dette pastebin indlæg givet anledning til to artikler på Version2 og en masse spekulation omkring sikkerheden i Danmark.

Så uanset om det er fabrikeret eller ej har det haft en virkning. Jeg synes også vi skal erindre at mange tilfælde af whisteblowing nødvendiggør at man forbliver anonym, specielt i disse tider hvor elektroniske data ind til eksempelvis aviser logges mere end fysiske breve! Specielt hvis du risikerer dit job eller lignende så ville jeg også overveje at være anonym!

Anonym er hverken at sidestille med kriminel eller utroværdig, det er et valg, hvor man mener at budskabet skal sendes ud uanset at man forbliver anonym. Modtageren må så vurdere om budskabet kan efterprøves eller leder til verificerbare oplysninger. Jeg skal da være den første til at indrømme at min paranoia er så veludviklet at det også gav en lille snert af usikkerhed, hvad nu hvis vi er hacket ... :-(

BTW Jeg siger her fabrikeret alle ville kunne lave et dump af sandsynlige databasenavne. Det er samtidig uklart hvad formålet er - der står jo reelt ikke ret meget i det indlæg, faktisk burde der måske NETOP havde været enkelte private data for at demonstrere at det var lykkedes at komme længere end til forsiden og en liste over databaser.

Shameless plug - der er cryptoparty i København den 14. november og du kan også selv arrangere et cryptoparty i din by - flere skal lære at være anonyme! Se cryptoparty.org

  • more_vert
    • insert_linkKopier link
9
Per Gøtterup
6. november 2012 kl. 15:30

Det sagde de også tilbage i 80'erne hvor "JubJub Bird" (Danmarks første dømte hacker) hackede dem. Har set papir-loggen fra det hack og han var helt inde og ændre på ting. CPR har altid benægtet at han kunne rette, men det er altså ikke sandt. En vis "hacker-jæger" fik også et nyt sygesikringsbevis som bevis herpå... ;)

  • more_vert
    • insert_linkKopier link
7
Thomas Tanghus
6. november 2012 kl. 14:51

...Viser ikke den store sans for struktur:

NL_Letters_Graamappe NL_Letters_Gulmappe NL_Letters_Gulmappe_wt1copy NL_Subscribers_Graamappe NL_Subscribers_Gulmappe NL_Types_Graamappe NL_Types_Graaqappe_wt1copy NL_Types_Gulmappe NL_Types_Gulmappe_wt1copy RbonnementsTyper_im_uk sidestruktur sidestruktur_graa sidestruktur_qraa_wt1copy sidestruktur_uk_wt1copy sidestruktur_wt1copy

  • more_vert
    • insert_linkKopier link
11
Jesper S. Møller
6. november 2012 kl. 16:15

Et hurtigt kig på databasenavnene...

... afslører også brug af Microsoft SQL Server. Derved kan vi vist udelukke at det er original-databasen, der er kopieret (men det kan jo godt være et komplet udtræk alligevel)

  • more_vert
    • insert_linkKopier link
6
Thomas Johansen
6. november 2012 kl. 14:43

Jeg håber på en kæmpe lækage i CPR registret. Så kan det være man endelig indser at CPR numre ikke skal bruges som gyldig identifikation.

Gerne en lækage på alle 5,543 millioner.

  • more_vert
    • insert_linkKopier link
3
Martin Kofoed
6. november 2012 kl. 14:00

Når Anonymous kan være alle og alle kan være Anonymous, kan man vel ikke tale om en egentlig gruppering af mennesker? Det er vel snarere et prædikat eller en bevægelse, som enhver script kiddie kan gemme sig bag eller booste selvopfattelsen på.

Gad vide om "the founding fathers" synes om, hvad bevægelsen efterhånden har udviklet sig til? Men man må give dem, at brandingen har været helt i top.

  • more_vert
    • insert_linkKopier link
2
Søren Pedersen
6. november 2012 kl. 13:57

Jeg undres en smule over at Peter Kruse kan udtale at det er tyndbenet når de har været inde og levet en SHOW TABLES. Han burde om nogen vide at det er særdeles kritisk.

  • more_vert
    • insert_linkKopier link
5
Peter Kruse
6. november 2012 kl. 14:32

Enig i den betragtning, men tyndbenet i forhold til det som de insinuerer at have opnået adgang til: "Danish Database over all citizens SSN, Addresses, and other priv8 information".

  • more_vert
    • insert_linkKopier link
4
Patrick Mylund Nielsen
6. november 2012 kl. 14:31

Kritisk hvis nogle af databaserne faktisk har CPR-numre, ja, men de viste ingen sådan information for "at beskytte os."

Der er god grund til skepsis når dem, der har skrevet det indlæg, virker til at tro, at det er en dum idé ikke at bruge en PKI med operativsystemets root CAs til en intern VPN.

  • more_vert
    • insert_linkKopier link
1
David Rechnagel Udsen
6. november 2012 kl. 13:47

We took the time and rooted several danish white hat faggots

Charming guys. De skal sgu' nok vinde folkets opbakning!

  • more_vert
    • insert_linkKopier link