CPR-aktivist fortsætter aktion: Lægger statsministerens personnummer på nettet

Aktivisten, som tidligere har lagt forsvarsminister Nicolai Wammens personnummer på nettet, fortsætter nu med Helle Thorning-Schmidts.

Med hjælp fra en offentlig hjemmeside har aktivisten Lars Kragh Andersen nu føjet statsminister Helle Thorning-Schmidts CPR-nummer til de oplysninger på politikere, han har offentliggjort som led i sin protestaktion mod overvågning. Det skriver DR Nyheder.

Han lagde i sidste uge oplysninger om forsvarsminister Nicolai Wammen ud på internettet i kølvandet på, at aktivister havde offentliggjort oplysninger om SF's folketingspolitikere. Det skete som protest mod overvågning af danskerne, senest i form af den omdiskuterede lov om Center for Cybersikkerhed under Forsvarets Efterretningstjeneste.

Læs også: Tidligere betjent udlover bitcoin-dusør for forsvarsministerens CPR-nummer

Oplysningerne om CPR-numrene er fundet ved hjælp af en hjemmeside for en offentlig myndighed, hvor det er muligt at finde frem til et personnummer ved at afprøve de forskellige kombinationer.

Kender man fødselsdato og køn, er der et begrænset antal kombinationer, som opfylder den formel, der bruges til at verificere CPR-numre. Selvom der er fire cifre, der skal gættes, er der væsentligt færre end 10.000 gyldige kombinationer. Hvis en hjemmeside har mulighed for at slå en gyldig kombination op i CPR-registret, kan man afprøve kombinationerne én efter én, indtil man får et positivt svar.

Lars Kragh Andersen, der er tidligere politimand, erkender ifølge DR, at hans handlinger formentlig er i strid med loven. Sagen minder da også om sagen mod aktivist og datalog Søren Louv-Jansen, som også delvist offentliggjorde politikeres CPR-numre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (32)
Henrik Korsgaard

Kære Jesper,

Du burde vide bedre end at bruge ordet "hacker" i overskriften. Der er både et teknisk og samfundsrelaterede argument mod det – det er, efter min mening, slet ikke klædeligt for et IT relateret nyhedssite, at være så unuanceret og hurtig på aftrækkeren.

Så vidt jeg ved, så er de metoder den tidligere politimand bruger ikke en tilgang jeg vil kalde at hacke. Det han ifølge artiklen gør, er at bruge eksisterende webservices der kan verificere og give oplysninger omkring CPR-numre, til at rekonstruere CPR-numre. DR skriver:

Han har endnu engang udnyttet en svaghed på en offentlig myndigheds hjemmeside til at finde frem til CPR-nummeret ved at afprøve alle tænkelige kombinationer.

Teknisk set bruger han bare en hjemmeside, trail and error og tålmodighed - hvilket alt sammen selvfølgelig kræves for at hacke, men han mangler vel at bryde en beskyttelse, trænge ind i et system, hvor hans adgang ikke er tiltænkt eller på anden måde via mere traditionelle hacker-værktøjer kompromittere et system. At kalde "At prøve alle tænkelige kombinationer" i en webform er lidt at strække begrebet hacker IMO - det var den "tekniske" detalje. Den har vi diskuteret et par gange på version2 - det er ikke min kæphæst.

Mit samfundsrelaterede argument - og det blev vist diskuteret under CPR-lotteri sagen – er, at ved at fremhæve handlingen som en hacker aktivitet - fremfor kritiker eller aktivist, sætter du, som journalist, straks handlingen i forbindelse med anerkendte kriminelle aktiviteter. Myndighedernes normale automatreaktion, som de også udviste ved CPR-lotteri sagen, er at kalde alle denne slags aktioner for "hackeri". På den måde kan de henvise sagen til politiet og undgå at tage stilling til hvorvidt det er systemet der er uhensigtsmæssigt. De kan bruge deres magt som myndighed til at straffe og undgå en dialog omkring sikkerheden i og designet af CPR systemet.

Hvis du som journalist gerne vil hæve dig over sensations-journalistikken og fremstå som IT kyndig i din artikel, synes jeg, at du skal droppe ordet hacker og giv en bred nuanceret analyse i stedet. Selv DR's udlægninger er mere nuanceret og åben i tolkning – de skriver aktivist.

Jeg mener selv, at det er en rigtig vigtig handling vores kære aktivist udfører, og sammen med Søren, har han igen vist at det er systemet der er hullet og bør gentænkes og ikke en spørgsmål omkring cyber-kriminalitet. Det er så vigtigt at folk som Søren og Lars har nosser til at påpege svagheder i den danske IT-infrastruktur, når nu det er så komplekst, at de der træffer beslutninger derom ikke kan gøre det kvalificeret.

-> Discuss ;)

Peter Brodersen
Mads Olesen

Peter Brodersen:

Aaaaarh den er sgu i kanten. I de danske nyhedsmedier er det enormt populært at omtale personer tiltalt for paragraf 263 stk 2 og 3 fra straffeloven som 'tiltalt for grov hacking' - denne paragraf kendtes endda i dagspressen som 'hackerloven' sidst den var oppe og vende i '13.

Der ligger helt klart en beskyldning om ublu gerninger når man kalder nogen en 'hacker', og på originalsproget (engelsk) er der sågar klare anvendelser af ordet i lovtekster.

Peter Brodersen
Henrik Korsgaard

Det er klart at jeg læser meget ind i det - men søg lige lidt på Version2.dk, efter brugen af ordet. Der er klart en overvægt af anvendelse, hvor der arbejdes med aktiviteter, der overtræder lovgivningen, handler om uautoriseret adgang og involvere kriminalitet, tyveri af oplysninger, spionage og IT-sikkerhed. Hvis du kigger søgningen igennem, kan du selv se hvordan "de fleste nørder herinde" bruger ordet.

Min pointe er netop, at bruge ordet i flæng – ligesom du bruger ordet nørd – måske netop gør det problematisk. Jeg ved ikke om jeg er "nørd", men min viden om akten at hacke og hvordan hacking bruges, gør at jeg er lidt påpasselig med at kaste om mig med ordet. Der har været flere lange diskussioner herinde, hvor det er blevet diskuteret om script-kiddies der bruger hacker tools, faktisk er hackere, mest fordi der er tilknyttet en fortælling om teknisk snilde og kreativitet. Men som sagt, så er det ikke min kæphæst. Jeg ville hellere se en nuanceret analyse af denne sag, CPR-lotteri sagen og andre omkring IT-infrastruktur og CPR systemet, end en halvdårlig nyhed taget fra DR.

Vi er jo netop endt i en situation hvor afgørende beslutninger om vores infrastruktur tages af ikke-eksperter og på et til tider ringe grundlag. Det er virkelig problematisk at os, "nørderne", er endt i en situation, hvor vi bliver kaldt henholdsvis hackere (som kriminelle) og aktivister, når vi finder huller i de systemer der skal passe vores allesammens data.

Sune Marcher

Men er det da et problem, at Version2 bruger ordet, som de fleste nørder herinde også ville bruge ordet?


Jeg håber ikke at "de fleste" herinde vil kalde brug af offentligt tilgængelige data og offentlige websites for "hacking".

Der har, så vidt jeg ved, hverken været brudt ind i beskyttede sites, anvendt lækkede oplysninger, eller foretaget social engineering. Hvori ligger berettigelsen i brugen af ordet "hacker"?

Som Henrik Korsgaard er inde på, har det ord en negativ værdiladning (hvis vi ser bort fra folk der stadig lever i 70'erne).

Hans Henrik Jakobsen

Hvis den kære aktivist ikke har begået ulovligheder så ved jeg ikke hvad.

Jeg helt klart mene at det er et hack som Peter også skriver.
Han har benyttet systemet på en ikke tilsigtet måde til at opnå et resultat.

Det er et Hack!!!

Derudover brude han ikke blive kaldt hverken aktivist eller hacker.

Han er en simpel bedrager som bøjer verden på sin egen måde ss det passer bedst ind hans lille forskruet verden.

En sølle person som ikke kan nøjes med at bruge ordet, men bliver nød til at skade andre for at opnå sit mål.

Forstået frihed har han overhovedet ikke.

Michael Weber

Hvis den kære aktivist ikke har begået ulovligheder så ved jeg ikke hvad.

"Med lov skal land bygges, men ville enhver nøjes med sit eget og lade andre nyde samme ret, da behøvede man ikke nogen lov. Men ingen lov er jævngod at følge som sandheden, men hvor man er i tvivl om, hvad der er sandhed, der skal loven vise sandheden."
http://da.wikipedia.org/wiki/Jyske_Lov

Men ingen lov er jævngod at følge som sandheden...
:)

Henrik Kramshøj Blogger

Altså i USA bliver folk jo fængslet og tiltalt fordi de bruger Wget - hvilket er i samme boldgade som at at bruge tinglysning.dk - jeg var selv tæt på at smide noget cURL sammen for at finde Trine Bramsens CPR nr, men nåede det ikke.

Men hvorfor bliver folk dog ved med at diskutere det ord hacker?! Altså FFS, vi har vigtigere ting at diskutere, som hvordan får vi politikerne til at forstå disse sager bedre!

Tine Andersen

Og hash-handler. Kan man have respekt for lovbrydere?
Han er tydeligvis en idiot!

Der fisker i rørte vande.

Er der egentlig i orden at skaffe cpr, på folk man er politisk uenenige med- og hvorfor?!

Så de ser, vi er overvågede? Så find da cpr på hele DF, eller noget.

Den der (skiderik) har jeg intet ønske om at støtte- (kvaj).

Mvh
Tine

Henrik Kramshøj Blogger

Er der egentlig i orden at skaffe cpr, på folk man er politisk uenenige med- og hvorfor?!

Så de ser, vi er overvågede? Så find da cpr på hele DF, eller noget.

Tak fordi du råber så højt, det giver mig lejlighed til at stikke lidt til dig, Tine - i al venlighed naturligvis.

Er det iorden at skaffe CPR på Helle T.

Ja, når selvsamme Helle bevidst ignorerer alle borgernes bekymringer angående CPR, når alle IT-sikkerhedsfolk ignoreres, når Helle T sidder i regering og har magten til at forandre det. JA, så må det blive et klart ja.

Vi ser idag at ingen (næsten ingen) fra den danske politikerstand gider at gøre noget ved disse emner. Helle SPECIELT og socialdemokratiet har vist at det er vigtigere at lægge sig fladt på maven for USA/NSA - gentagne gange, og formentlig siden vi snakkede Echelon i tidernes morgen.

Synes du, Tine at de danske politikere kigger alvorligt og nøgternt på at forbedre forholdene mht. misbrug af CPR? Mener du at almindelige borgere der udsættes for identitetstyveri, invasion af privatliv m.v. får den hjælp de bør få, eller sker der en mistænkeliggørelse og de lades i stikken - det behøver du ikke at svare på, de lades i stikken fordi ID-tyveri sker tilpas sjældent.

Så min respekt for Lars Andersen er langt højere end den er for Helle Thorning, som i min optik er den største forbryder af de to.

Povl H. Pedersen

Der er ikke teoretisk 10.000 muligheder. Når man kender køn, så halveres det til 5000 muligheder, og hvis man kender århundredet personen er født i, så halverer man igen til 2500 muligheder. Og da checksummen stadig bruges, ihvertfald på ældre CPR numre, så er vi nede på ca. 250 mulige CPR numre for et givent køn en given dato.

Og da de uddeles i nummerorden, eller noget der ligner, så vil det ofte være de første numre der anvendes, og det reelle keyspace vil være mindre, så måske vil man reelt kunne sige at person X har et CPR nummer blandt 100 muligheder med 99% sandsynlighed. Så der er kun 100 forespørgsler eller i snit 50 som skal laves. Måske kan fødeklokkeslet også bruges til at mindske antal opslag.

Dem der tror CPR nummeret er en hemmelig kode har misforstået noget. Jeg tror heller ikke man kan ringe til kommunen og få nulstillet sit CPR "password", eller rette det til noget andet.

Christian Nobel

"Først kom de for at tage kommunisterne, men jeg protesterede ikke, jeg var jo ikke kommunist.

Da de kom for at arrestere fagforeningsmændene, protesterede jeg ikke, jeg var jo ikke fagforeningsmand.

Da de spærrede socialisterne inde, protesterede jeg ikke, jeg var jo ikke socialist.

Da de spærrede jøderne inde, protesterede jeg ikke, jeg var jo ikke jøde.

Da de kom efter mig, var der ikke flere tilbage til at protestere."

Martin Niemöller (1892-1984)


Men det er selvfølgelig altid nemmest bare at skyde budbringeren.

Michael Nielsen

Ja, når selvsamme Helle bevidst ignorerer alle borgernes bekymringer angående CPR, når alle IT-sikkerhedsfolk ignoreres, når Helle T sidder i regering og har magten til at forandre det. JA, så må det blive et klart ja.

Henrik hvordan ved du at du taler på 'alle danskeres vegne? Bevist ignorerer alle borgernes bekymringer angående CPR' Jeg er sikker på at der findes en del der ikke deler din bekymring, faktisk er det kun her på Version 2 der er nogen form for interesse, så min påstand er faktisk at det er et klart mindretal af borgerne der bekymre sig om dette.

Om det ene eller andet er rigtigt ved jeg naturligvis ikke da jeg ikke har tale med alle danske borgere, så i fremtiden synes jeg du skal holde dig for god til at bruge det gamle Erhard Jacobsen kneb med at tale på det store tavse flertals vegne.

Jakob Sørensen

Kan man have respekt for lovbrydere?

Jeg er for såvidt enig i at man skal overholde loven. Men... Og der er et stort "MEN":

Den svaghed der gav adgang til Wammens og Thornings CPR-numre har eksisteret længe. Der er desuden jævnligt danskere der får misbrugt deres CPR-nummer. Indtil videre har der intet været gjort, men efter denne sag er hullet hos Tingbogen blevet lukket og politikerne arbejder nu på en løsning af usikkerheden omkring CPR-numre.
Sandheden er, at der desværre var en der var nødt til at bryde loven og gå personligt til angreb på højtstående politikere, før at der blev gjort noget. Demokratiet har i den grad svigtet i denne sag...

Ulrik Suhr

I min optik er en tilskuer til en forbrydelse i lige så høj grad strafbar som udøveren.

At man inde for IT ikke har den samme optik undre mig meget.

Det er ikke muligt at fraskrive sig sit ansvar fordi man ikke vil erkende det. Det er hvad der reelt sker i Danmark så hvorfor skal en politiker tage stilling..... Det behøves ikke?

Henrik Korsgaard

Bang - spot on. Det er desværre en af vilkårene, når der ikke er plads til en fortsat dialog. Det er skræmmende hvor meget Se og Hør gate og nu denne sag kan flytte i forhold til både debat, ændringer i systemet og andre reaktioner. Når det gør ondt på de kendte, politikere og andre "ressourcestærke", så sker der noget.Det er netop derfor at det er aktivisme, og hverken terrorisme eller hacking.

Jeg synes faktisk at det er enormt positivt, at der er folk som bruger forskellige hjælpemidler til at udtrykke en kritik eller påpege problemstillinger. Vi har set det med NemID (javascript-klienten og sikkerhed), Rejsekortet (alternative services der fikser mangler i det officielle design) og så CPR-lotteriet/afsløringerne. For flere af initiativerne, gør det sig gældende at en lang række mennesker er blevet betydeligt klogere på hvad de systemer der omgiver os kan, skal og må. Det har nåde givet anledning til afdækning af tekniske mangler og moralske diskussioner – det er da fedt!

Ulrik Suhr

hvis man står ved siden af en person der slås og sparkes uden indgriben så er man i min optik også strafbar. Ja det var ikke så bogstaveligt. Det er måske bedre at skive "tilskuer med mulighed for indgriben".

Man skal prøve at stoppe en forbrydelse hvis man kan...

Det er meget kort og skåret ind til benet hvad disse aktivister prøver at gøre de ansvarlige opmærksom på.

Tror bare ikke de lykkes med andet end at skabe lidt uro.

Kenn Nielsen

Henrik hvordan ved du at du taler på 'alle danskeres vegne? Bevist ignorerer alle borgernes bekymringer angående CPR'

Spændende fortolkning..

Jeg tror nu at det skal læses som '..alle bekymringerne borgerne har angående CPR..', hvilket så indikerer at alle bekymringer der er kommet til Hele T's kendskab er blevet ignoreret.
Hvilket ikke er forkert.

Omvendt, så siger din udmelding, at du taler for samtlige borgere, minus dem du kan se er begrundet bekymrede her på V2.

Go figure..

K

Michael Nielsen

Spændende fortolkning..


Kenn - jeg prøver helt bevidst ikke på nogen måde at sige at jeg taler på andres vegne - det er netop hele pointen. Henrik kan ikke udtale sig på 'andres vegne' - selv om jeg måtte være enig med Henrik eller andre så er pointen at han ikke udtaler sig på mine vegne. Jeg er stor modstander af debat knebet at man tager andre til indtægt ved at påstå man udtaler sig på det store tavse flertals vegne.

Anders Rosendal

Ja og ende op enten på hospitalet med knivstik, eller i fængsel tiltalt for vold ;-)

HVIS MAN KAN!
Så hvis du ser knivstikkeri skal du ikke troppe op og blive stukket ned. Det kan du forhåbentlig godt regne ud.
Du skal derimod ringe til politiet.

Der er forresten faldet dom om det, så der er ikke nogen tvivl.
(Folk filmede et udbrud fra fængsel i stedet for at ringe til politiet)

Ulrik Suhr

Ja og ende op enten på hospitalet med knivstik, eller i fængsel tiltalt for vold ;-)

Jeg har en anke mod "lade stå til". Hvis ens eget liv også vil udsættes for fare er en anden fremfærd bedre. Dette gør IKKE AT MAN KAN FRASKRIVE SIG ANSVARET!

Derfor mener jeg disse aktivister egentlig prøver at tvinge "vidnet som kan argere" til at tage stilling. Dog er det en uheldig måde at gøre det på :)

Albert Nielsen
Henrik Kramshøj Blogger

Henrik hvordan ved du at du taler på 'alle danskeres vegne? Bevist ignorerer alle borgernes bekymringer angående CPR'

Hmm, jeg mener ikke jeg taler på alle danskeres vegne, men at de ignorerer "alle bekymringer". Hvis jeg skulle forsøge at tale for alle danskere ville der står alle (danske) borgeres bekymringer. Måske dårligt formuleret, du må få mit CPR nr for en øl hvis vi mødes. Jeg mener der er tilstrækkelig kritik af systemet ikke bare fra mig og Lars, men mange danskere, og disses bekymringer bliver der gjort MEGET lidt for at fjerne.

Så alle bekymringer som vi danske borgere har fremsat igennem mange år preller af på DKPOL - med meget få undtagelser!

Christian Nobel

I det mindste

I det mindste - det formoder jeg skal fortolkes som en slet skjult uforskammethed, men faktum er nok mere at du ikke har fattet det mindste.

Det er patetisk at mange danskere har åh-så-travlt med at støtte op om frihedskæmpere og systemkritikere i det store udland, er medlemmer af Greenpeace, samt glorificerer modstandsbevægelsen under krigen.

Men når en dansk systemkritiker så vha. udenomsparlamentariske metoder (som man gerne hylder når de bruges i "væmmelige" regimer) udstiller nogen graverende fejl, som har været påpeget, men siddet overhørigt i mange år, så kommer der folk som Hans og dig med stærkt fordømmende holdninger.

Måske du skulle overveje at perfektionere dine synspunkter og flytte til Nordkorea - systemet har sikkert brug for friske folk som dig.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017