Anonymous slår til i Danmark: Vi har hacket CPR.dk og Atea

Illustration: Virrage Images/Bigstock
Hackergrupperingen Anonymous hævder at have brudt ind i det Centrale Personregister og hos it-virksomheden Atea. Ingen læk af personfølsomme data, siger CPR selv.

Den internationale hackergruppering Anonymous hævder i en meddelelse på hjemmesiden Pastebin.com at have hacket sig ind på hjemmesiden for det Centrale Personregister, CPR.dk, og derigennem fået fingre i personfølsomme oplysninger om danskerne.

Gruppen hævder samtidig at være kommet i besiddelse af oplysninger fra den danske it-virksomhed Atea A/S.

»Sikkerheden i Danmark er en joke, og det accepterer vi ikke. Derfor viser vi jer nu, hvad det er, vi taler om,« hedder det i meddelelsen fra Anonymous.

It- og CPR-afdelingen i Økonomi- og Indenrigsministeriet bekræfter over for Version2, at et angreb har fundet sted, men nedtoner alvoren af det.

»Jeg kan bekræfte, at der har været nogen inde på CPR.dk, men hjemmesiden indeholder ikke personfølsomme oplysninger. Selve CPR-systemet har ikke været genstand for hacking,« siger kontorchef i Økonomi- og Indenrigsministeriet Carsten Grage til Version2.

CSC, der har ansvaret for driften af CPR-systemet, vil ikke udtale sig om kundesager over for Version2, men henviser til Økonomi- og Indenrigsministeriets forklaring.

Hacket på grund af vandværkskunde

Af meddelelsen fremgår det også, at ingen af de persondata om danskerne, som gruppen hævder at have taget fra CPR, er blevet lagt ud på nettet.

»Vi er ikke imod jer (borgerne, red.), men vi gør, hvad der er nødvendigt, før andre med dårlige hensigter gør det samme og ødelægger jeres privatliv.«

It-virksomheden Atea beskæftiger sig blandt andet med it-sikkerhed, og det er årsagen til, at Anonymous har haft den i kikkerten, fremgår det af meddelelsen.

Læs også: Vandværk frygter ikke hackere: »Vi lukker bare for vandet«

»I de seneste par måneder har den danske regering erklæret cyberkrig og vendt nogle af vore egne imod os og brugt medierne til at spinne historier om hackeres evner til at angribe vandværker,« skriver Anonymous således og fortsætter:

»Men her kommer der et 'fun fact'. Atea i Danmark har it-sikkerhed i deres produktportefølje, og en af deres kunder er, ja, I har måske allerede gættet det - et vandværk,« hedder det i meddelelsen, som samtidig opfordrer Atea til at tjekke efter, hvor meget der er blevet opsnappet fra virksomhedens VPN.

Sikkerhedskonsulent: Tag det med et gran salt

Ifølge Peter Kruse, konsulent i it-sikkerhedsfirmaet CSIS, skal alle oplysningerne dog foreløbig tages med et gran salt.

»Indtil videre ved vi i virkeligheden lige så meget som jer, og det går på en masse påstande om hacks, hvor man har dumpet nogle tabeller fra CPR og nogle databasestrukturer fra Atea. Nu må vi afvente og se, om der bliver frigivet mere, men umiddelbart ser det lidt tyndbenet ud,« siger Peter Kruse til Version2.

Version2 afventer en kommentar fra Atea.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kofoed

Når Anonymous kan være alle og alle kan være Anonymous, kan man vel ikke tale om en egentlig gruppering af mennesker? Det er vel snarere et prædikat eller en bevægelse, som enhver script kiddie kan gemme sig bag eller booste selvopfattelsen på.

Gad vide om "the founding fathers" synes om, hvad bevægelsen efterhånden har udviklet sig til? Men man må give dem, at brandingen har været helt i top.

Patrick Mylund Nielsen

Kritisk hvis nogle af databaserne faktisk har CPR-numre, ja, men de viste ingen sådan information for "at beskytte os."

Der er god grund til skepsis når dem, der har skrevet det indlæg, virker til at tro, at det er en dum idé ikke at bruge en PKI med operativsystemets root CAs til en intern VPN.

Thomas Tanghus

...Viser ikke den store sans for struktur:

NL_Letters_Graamappe
NL_Letters_Gulmappe
NL_Letters_Gulmappe_wt1copy
NL_Subscribers_Graamappe
NL_Subscribers_Gulmappe
NL_Types_Graamappe
NL_Types_Graaqappe_wt1copy
NL_Types_Gulmappe
NL_Types_Gulmappe_wt1copy
RbonnementsTyper_im_uk
sidestruktur
sidestruktur_graa
sidestruktur_qraa_wt1copy
sidestruktur_uk_wt1copy
sidestruktur_wt1copy

Per Gøtterup

Det sagde de også tilbage i 80'erne hvor "JubJub Bird" (Danmarks første dømte hacker) hackede dem. Har set papir-loggen fra det hack og han var helt inde og ændre på ting. CPR har altid benægtet at han kunne rette, men det er altså ikke sandt. En vis "hacker-jæger" fik også et nyt sygesikringsbevis som bevis herpå... ;)

Pelle Nielsen

Vi har ytringsfrihed i Danmark, men der følger også et ansvar med det.
Man kan ikke være anonym, hvis budskabet skal havde vægt.
Så når nogle ”Anonymous” påstår at det er få vores eget bedste, skal man spørge sig selv Hvem, Hvad, Hvor?
Personer som flirt med noget så udemokratisk metoder, på grund af følelser om Davids kamp mod den store onde Goliat, skal være mere eftertænksom.
I den bedste filmstil, inspireret af V, kommer med deres budskaber de glemmer bare at V var et værktøj/redskab, som gik til grunde under processen og ikke en/flere grupperinger af personer, med forskellige interesse.

Emil Moe

Jeg håber en dag alle de indvolverede i Anynomous får deres straf, for den eneste trudsel jeg har bidt mærke i den seneste tid er dem! Vil de tages seriøst og ikke betragtes som nogle forstyrrede teenagere (det er i hvert fald mit syn på dem, og ikke mindst når de skriver ting som "priv8"), så skulle de måske bevise, at de rent faktisk evner noget og starte et sikkerhedsfirma op, der sagligt kritiserer generelle standarder. Det er lykkedes godt for KasperSky, men knap så godt for Anonymous.

Det svarer vel lidt i grunden til, at stille sig ned på gaden og skyde løs med en automat riffel og bagefter beskylde politiet for ikke, at være pro aktive nok. Sådan nogle typer skal helst holdes langt væk fra samfundet og så er det sagt pænt.

René Nielsen

Til Emil Moe

Tro du kun at det teenagere der er i Anynomous, det tro jeg ikke og jeg tro også nogle af dem har rigtig gode jobs indenfor it

Jeg tro at nogle personer flere gang intern har advaret at der var et problem i f.eks cpr systemet, og hvis man så ikke vil hører så må man føle.

Og ved du endeligt hvor dårligt de offentlige systemer er overvåget ???
De rigtig dårligt overvåget, jeg kunne fortælle dig nogle historier , det ville få det til at løb koldt ned af ryggen på de flest,
der skal siges at jeg ikke har noget med Anynomous at gør, for at slå det fast.

Men det med at en bruger af et system , ringe og fortæller at der er et problem er ikke første gang og det fortælle rigtig meget om hvor godt det automatisk overvågning virker eller mangel på samme.

Jeg synes det helt ok at Anynomous fortælle at de fået adgang og at de kunne have gjort noget der var være med systemet, hvis de ville, det værste kunne jo være at de ikke gjort det og at de bruge den bagdør år ud og år ind.

Det fortælle at de har lidt stil over Anynomous, og at den der har ansvar på f.eks cpr , her tændes ikke på Atea, CSC, KMD men dem der sidder på penge i cpr at de skal have nogle op af lommer for at betale de før nævnte til at sikker systemer noget bedre.

Men få hvad man betaler for, og de offentlige it systemer herunder ledelse , går mange af penge til møder og med at flytte aben rundt i stedet for at gør noget ved aben.

Søren Hansen

De har intet - heller ikke denne gang. De går efter medie opmærksomhed - og vi æder den, hver gang!

Det som sker nu, er nøjagtig det sammen som da frontend serverne ved statsforvaltningen, patentstyrelsen og en eller anden tilfældig frimureorden blev kompromitteret. Man bryder ind i en frontend serveren, men mangler evnerne til at komme længere ind - så man finder på en god historie og medierne hopper på den.

Mikael Ibsen

at enhver oplysning, man afgiver til en elektronisk database, rent principielt med denne handling bliver offentliggjort. Spørgsmålet er kun, HVORNÅR den bliver almen tilgængelig.

Uanset hvor meget man forsøger at spærre for uautoriseret adgang, vil der altid på et tidspunkt ske tekniske eller menneskelige fejl, sommetider suppleret med angreb fra yderst entusiastiske personer, som ikke går hjem kl. 16.00...

Sommetider har det mærkbare konsekvenser - sommetider ikke.

Også sabotage fra utilfredse eller politisk engagerede personer med lovlig adgang til databaser er en til enhver tid eksisterende trussel.

Kort sagt: Fuld datasikkerhed er et ikke eksisterende begreb.

Daniel Madsen

Uanset om data er kompromitteret i denne omgang eller ej, så er det en trussel vi som samfund er nød til at tage mere alvorligt - hvis alle CPR oplysninger bliver offentliggjorte så har vi et kæmpe problem.

Det er jo ekstremt bekymrende at CPR databasen tilsyneladende ligger på samme server som en lang række mere eller mindre bekymrende databaser som

"forsøgsprojekter",
"Metatraffic",
"designguide",
"detnyedanmark",
osv.

Hvorfor er den database ikke på sit eget netværk hvor der kun er åbent for en API adgang til?

Hvis man udvikler en betalingsløsning så er der krav om PCI certificering i varierende grad - vil man eks. lagre kortdata stilles der store krav til både medarbejdere, fysiske serverlokaler og IT infrastruktur.

Men hvis man er det offentlige der skal lagre hele Danmarks identitetsdatabase så er det åbenbart intet problem at så kritiske data placeres på en server som bruges til 117 andre formål og som formentlig ikke engang er afskærmet på eget netværk...

Listen bekræfter desværre meget godt ens værste fordomme om hvordan tingene foregår indenfor denne type organisationer, så den er nok desværre god nok - tvivler på nogen er kreative nok til at fake denne database-oversigt.

Thomas Ehler

;-)
Jeg synes nu de skal blive dernede. Så gør de ingen skade så længe.
Tænk hvis de ræsede rundt i stjålne biler eller lavede fysiske indbrud.
Så ville der der være overhængende fare for at nogen, måske endda andre end de selv, kom til skade.
Nu bliver den samlede skadesliste begrænset til lidt musearm...

Henrik Kramshøj Blogger

Man kan ikke være anonym, hvis budskabet skal havde vægt.

Du kan snildt være anonym, og det betyder blot at mange ting er sværere, kildekritik gør eksempelvis at man nødvendigvis må være mere varsom med indholdet. Mht. vægten så skal den blot være stor nok til at man gør noget - og om ikke andet så har dette pastebin indlæg givet anledning til to artikler på Version2 og en masse spekulation omkring sikkerheden i Danmark.

Så uanset om det er fabrikeret eller ej har det haft en virkning. Jeg synes også vi skal erindre at mange tilfælde af whisteblowing nødvendiggør at man forbliver anonym, specielt i disse tider hvor elektroniske data ind til eksempelvis aviser logges mere end fysiske breve! Specielt hvis du risikerer dit job eller lignende så ville jeg også overveje at være anonym!

Anonym er hverken at sidestille med kriminel eller utroværdig, det er et valg, hvor man mener at budskabet skal sendes ud uanset at man forbliver anonym. Modtageren må så vurdere om budskabet kan efterprøves eller leder til verificerbare oplysninger. Jeg skal da være den første til at indrømme at min paranoia er så veludviklet at det også gav en lille snert af usikkerhed, hvad nu hvis vi er hacket ... :-(

BTW Jeg siger her fabrikeret alle ville kunne lave et dump af sandsynlige databasenavne. Det er samtidig uklart hvad formålet er - der står jo reelt ikke ret meget i det indlæg, faktisk burde der måske NETOP havde været enkelte private data for at demonstrere at det var lykkedes at komme længere end til forsiden og en liste over databaser.

Shameless plug - der er cryptoparty i København den 14. november og du kan også selv arrangere et cryptoparty i din by - flere skal lære at være anonyme! Se cryptoparty.org

Henrik Kramshøj Blogger

Det er jo ekstremt bekymrende at CPR databasen tilsyneladende ligger på samme server som en lang række mere eller mindre bekymrende databaser som

gør den det?

er du sikker på det?

pastebin indlægget identificerer target som "[+] TARGET CPR.DK" - ikke specifikt om det er www.cpr.dk eller hvilken server data kommer fra (her ville mange andre hacklogs/dumps af data ofte indeholde den slags interne oplysninger som "bevis" for at man havde adgang til den). Vi får ligeledes "bare en liste over databasenavne" - som kunne være opdigtet.

Jeg ser mange mange kunder idag som har en ekstern hosting provider til at styre serveren med websiden, uden at samme har fuld adgang til virksomhedens andre data. Jeg ser det derfor som værende meget muligt at www.cpr.dk muligvis kun er et CMS med præsentation af virksomheden.

Så jeg stiller mig meget skeptisk overfor hvor langt de reelt er kommet i infrastrukturen hos CPR. Hvis nogen har lavet løsninger med opslag i CPR, så fortæl meget gerne hvorledes dette foregår. Jeg kunne godt forestille mig at man ofte skal bruge VPN forbindelse a la Sundhedsdatanettet http://www.medcom.dk/wm110002

Spørgsmål som jeg gerne ville stille til dem der kender og bruger CPR mere end mig, hvordan sker opslag typisk?
Sker det via HTTP/HTTPS, hvad hostnavn bruges? er det www.cpr.dk eller noget helt andet. Er der begrænsninger på hvor mange opslag man må lave pr døgn, pr time eller lignende.

Carsten Hahn

Jeg tvivler også på at de rent faktisk har fået fat i cpr data hos cpr.dk og det er nok heller ikke den nemmeste at få adgang til. Jeg er mere bekymret for alle de sites som har online adgang til cpr.dk og som via den adgang laver abonnement på de cpr numre de har "adkomst" til.
Disse små kopier af (dele af) cpr databasen er nok noget nemmere at ramme.

Henrik Biering Blogger

Spørgsmål som jeg gerne ville stille til dem der kender og bruger CPR mere end mig, hvordan sker opslag typisk?

Der er faktisk rimelig dokumentation på siden under de enkelte tjenester: http://www.cpr.dk/cpr/site.aspx?p=76

Hvad angår CPR-Direkte blev en varslet 5 minutters nedetid mandag morgen kl. 9.00 (tidspunktet for en sådan planlagt nedetid kan vel undre?!) til 2 timers nedetid. Men efterfølgende under angrebet på cpr.dk oplevede jeg ikke nogen problemer med tjenesten.

Finn Christensen

Jeg tro at nogle personer flere gang intern har advaret at der var et problem i f.eks cpr systemet, og hvis man så ikke vil hører så må man føle.

I 1970'erne var CPR-numre endnu et følsomt politisk emne.

Oprindelig blev vi fortalt, at CPR-nummeret skulle være et INTERNT journalnummer i den offentlige forvaltning, som ville lette forvaltningens indbyrdes kommunikation og sikkerhed mht. identifikation af bestemte borgere og deres sager.

I 1977, vægrede flere kommuner sig i lang tid mod at udlevere private oplysninger til et centralt personregister, indtil de med dagbøder blev tvunget til at give efter..

Ifølge Merklin røber Indenrigsministeriets materiale detaljerede planer, der er gearet til en omfattende udbredelse af kortet ved kontakt til alt fra sygesikring til internet. Kopier af pin-koderne tænkes deponeret i såkaldte nøglecentre, så politiet kan gå hen og hente nøglen og i fred og ro aflytte vores meddelelser. Der bliver udviklet programmer, som går ind og lytter med på internettet, og hver gang der kommer noget, man er interesseret i, tapper man nettet og kopierer meddelelserne til brug for politi eller efterretningstjeneste. (Tidl. ansat i Fin.min., cand.polit. Jussi Merklin)

NB! Beskriver herover er i datidens sprog og verden.

Allerede fra 70'erne var problematikker med CPR, følsomme data, misbrug, læk fra offentlige/centrale systemer, registersamkøring etc., samt 1980-1990'erne var det vi nu kender som NemID påtænkt.

Den officielle version til borgerne fra tinge var lige modsat hverdagens virkelighed 20 år efter.. søg selv i medierne fra før internettet.

Jeg kendte dengang også ovenstående via 'signaler på de interne vandrør'.. ;)

Linda Tjørndal

beklager men jeg tror ikke rigtig på det, har selv arbejdet der i en 2 år og atea navngiver aldrig deres servere efter ovenstående, tværtimod kunne det lige så godt være en sur X meda. med insider viden der bare påstår han har lækket noget.. og jeg ved sikkerheden er højeste prioritet. at nedlægge en hjemmeside er nemt nok men at få data.. nix det er varm luft det der!

Log ind eller Opret konto for at kommentere