Sådan skete CPR-lækket: CSC blev rykket for Robinsonlisten og udleverede halvfærdig version med CPR-numre

CSC havde problemer med kørslen af batchprogrammer, så da firmaet blev rykket for den opdaterede liste, var den ikke renset. Det viser en hurtig redegørelse for det gigantiske læk af 900.000 danskeres CPR-nummer.

CSC havde tirsdag problemer med selskabets batchkørsler, og det påvirkede udarbejdelsen af den opdaterede version af den Robinson-liste, som CSC skulle levere til CPR-kontoret. Det førte til det enorme læk af CPR-numre for de 900.000 danskere på Robinsonlisten, skriver Ritzau ifølge Information.

Da CSC blev rykket for listen, endte selskabet med at udlevere en version, hvor der endnu ikke var kørt de batchprogrammer, som skulle fjerne CPR-numrene fra udtrækket fra CPR-registret, som er grundlaget for listen.

Hverken hos CSC eller hos CPR-Kontoret blev listen kontrolleret, inden den blev lagt ud på den tjeneste, hvorfra cirka 600 tilmeldte virksomheder henter listen.

Læs også: Robinsonlisten nærmest ikke beskyttet: Samme lette password for alle – i fem år

Læs også: Overblik: Er det slut med det 'hemmelige' cpr-nummer?

CSC havde torsdag i sidste uge kørt en ekstraordinær testkørsel på batchsystemerne, men ifølge Ritzau er det uvist, hvorvidt testen har haft indflydelse på batchsystemet.

I alt 15 firmaer nåede at downloade den version af Robinsonlisten, som indeholdt CPR-numre, skriver Ritzau ifølge Information. I første omgang havde CPR-Kontoret oplyst, at 18 firmaer havde hentet listen, men en nærmere gennemgang har vist, at der har været gengangere blandt firmaerne.

CPR-Kontoret har foreløbig fået bekræftet fra otte af firmaerne, at de har slettet listen igen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Baldur Norddahl

I alt 15 firmaer nåede at downloade den version af Robinson-listen, som indeholdt cpr-numre, skriver Ritzau ifølge Information. I første omgang havde CPR-Kontoret oplyst, at 18 firmaer havde hentet listen, men en nærmere gennemgang har vist, at der har været gengangere blandt firmaerne.

CPR-Kontoret har foreløbig fået bekræftet fra otte af firmaerne, at de har slettet listen igen.

De aner ikke hvem der har downloadet den. Alle har samme login, så det eneste de har er en logfil med nogle IP-adresser.

De har kontaktet alle virksomheder der har adgang og bedt dem der har downloadet om at melde sig selv.

  • 12
  • 0
Martin Jensen

Jeg forstår det simpelthen ikke. Hvor svært kan det være som en del af publisering af listen at indbygge et check for, om CPR-numrene er fjernet? 900.000 records tager altså ikke lang tid at kontrollere automatisk. Endnu en gang viser CSC, at de ikke er det offentliges opgaver voksen

  • 8
  • 3
Martin Kofoed

De aner ikke hvem der har downloadet den. Alle har samme login, så det eneste de har er en logfil med nogle IP-adresser.

Hvordan kan en virksomhed på nogen måde garantere, at listen er "destrueret"? Det kan jo ikke lade sig gøre i praksis, og det virker som en desperat handling at kræve dette, og det ved enhver med et minimum af indsigt.

Derfor må listen naturligvis anses som værende "in the wild". Og det er heldigvis også sådan, det vinkles i medierne, selv om resten af mainstream-dækningen mildest talt er mangelfuld.

  • 17
  • 0
Jens Beltofte

De aner ikke hvem der har downloadet den. Alle har samme login, så det eneste de har er en logfil med nogle IP-adresser.

De har kontaktet alle virksomheder der har adgang og bedt dem der har downloadet om at melde sig selv.

Også min tanke efter jeg læste om deres elendige adgangskontrol. Virker lidt som om Carsten Grage fra CPR-kontoret tror, at politikerne og læserne er dumme og at han derfor let kan omgå sandheden. På den anden side kan det også være, at det er ham der er mindre skarp inden gennemsnittet, og bare vidergiver forklaringen fra nogle af medarbejderne hos CPR-kontoret.

  • 7
  • 0
Joe Sørensen

Jeg kan godt se hvordan det kan ske.
select * from ...

Der var problemer med automatikken. Kunder pressede og alle medarbejdere var sure på de få der vidste hvordan det burde virke. En gav efter for presset og skrev en SQL sætning som hurtig blev lagt ud til kunderne.

Kender situationen. ( Altså den med at presset er tungest i bunden )

OG jeg kan helt sikkert godt forstå hvorfor der ikke var noget automatik der "renser" for et eller andet. Helt ærligt, hvor meget automatik til "rensning" af cpr numre har I i Jeres SQL skal. Kan svare for mig selv. Hvis jeg skriver select *, få jeg alle koloner ud. Og jeg kører ikke resultater igennem et ekstra filter bagefter.

Efterhånden skal der meget til før jeg giver mig og roder direkte i databasen. Den tid man bruger på at finde ting direkte i en database, den tid kan jo ikke bruges på at få automatikken op igen. Dvs man bliver senere færdig. Men det er meget svært at forklare dem der betaler end løn.

  • 2
  • 2
Christian Nobel

"Da CSC blev rykket for listen, endte selskabet med at udlevere en version, hvor der endnu ikke var kørt de batchprogrammer, som skulle fjerne cpr-numrene fra udtrækket fra cpr-registret, som er grundlaget for listen."

Come on, der er tale om et sølle udtræk på 900.000 poster, stort set ikke meget mere end på lommeregnerniveau, som oven i købet burde køre helt automatisk hver måned, men alligevel får man noget så simpelt til at gå galt.

CSC sidder måske og genopfinder den dybe tallerken manuelt hver måned?

Men det burde mane til eftertanke for de digitaliseringsliderlige politikere, som måske burde tænke på om samfundet (og dets leverandører) er voksent nok til at varetage den opgave de vil pådutte borgerne at blive ofre for.

  • 5
  • 0
Ebbe Hansen

Er imho ikke at cpr-numrene fandtes på listen, men at listen distribueres så usikkert. Den følsomme oplysning er ikke cpr-numrene men selve det forhold at folk er på Robinsonlisten.
Den eneste måde at stoppe cpr-svindlen er at oprette et offentligt tilgængeligt cpr-register med lige så uhindret adgang som det er tilfældet med cvr i dag. Ethvert system med alment anvendte hemmelige nøgler vil være sårbart, men hvis nøglerne blot mister status som hemmelige, vil ingen længere kunne autentificere sig med kendskab til cpr.

  • 3
  • 0
Bjørn Agger

Hej Christian.

Jeg kender en smule til CPR. Sådan et udtræk er jo ikke kun fra en tabel. Du skal for eksempel huske at højde for folk, der har fået nyt cprnr, folk der har skiftet køn, historiske data etc etc.

At CSC har fejlet stort (og at tilsynet ikke har været bedre), kan vi sagtens blive enige om, men problemstillingen om udtræk er altså en anelse mere differentieret end "come on, der er tale om et sølle udtræk på 900.000 poster, stort set ikke meget mere end på lommeregnerniveau, som oven i købet burde køre helt automatisk hver måned, men alligevel får man noget så simpelt til at gå galt."

Mvh Bjørn

  • 0
  • 2
Jesper Høgh

Du skal for eksempel huske at højde for folk, der har fået nyt cprnr, folk der har skiftet køn, historiske data etc etc.


Det forhindrer vel ikke at et enkelt SQL query (med de subquerys, der er nødvendige for at tage højde for de ting du nævner) kan konstrueres så det returnerer et datasæt, som kun indeholder de felter, som skal bruges (navn og adresse).

Hvis ikke dette er muligt, så har CSC vel et strukturelt problem med deres databaser og/eller et kompetenceproblem på SQL området.

  • 8
  • 0
Jesper Høgh

Og hvis den query skal laves på ny hver tredje måned, så har CSC da også et alvorligt problem med deres interne processer.


Ja, enig, med mindre deres data er blevet omstruktureret, så skulle det vel ikke være nødvendigt, at genopfinde dette query hver gang listen til kunderne skal opdateres.

Man kunne godt have CSC mistænkt for at stille disse data til rådighed for kunderne via et serverside script, som udvælger de relevante data on the fly - og altså ikke bare at give fuld adgang til en forud genereret tabel, som indeholder Navn og Adresse.

Uanset hvad den rigtige forklaring er på denne skandale, så kan vel ingen føle sig helt trygge ved at en sådan megabommert kan begås af et firma, som håndterer en stor del af danske personfølsomme data.

Og jeg finder det direkte kriminelt, at CSC videregiver data - tilsyneladende fuldstændig uden at checke disse.

  • 2
  • 0
Peter Stricker

Og jeg finder det direkte kriminelt, at CSC videregiver data - tilsyneladende fuldstændig uden at checke disse.


Jeg har det ikke så godt med at frikende CSC, da det jo er dem, der har begået en fejl. Og det skal de naturlig vis straffes for. Men de skal i første omgang straffes af CPR-kontoret. Det er jo dem, der har videregivet CPR numrene. Og hvis der er nogen, der har begået noget kriminelt, så er det vel CPR-kontoret.

Omvendt må det give anledning til overvejelser i staten om, hvorvidt man stadig bør have CSC som databehandler. Det ureglementerede udtræk af data fra kørekortregistret burde i sig selv være tilstrækkeligt, men efter denne sag kan der ikke længere være nogen undskyldning for ikke at afvikle alle arrangementer med CSC som forvalter af personfølsomme oplysninger.

  • 2
  • 0
Jesper Høgh

Omvendt må det give anledning til overvejelser i staten om, hvorvidt man stadig bør have CSC som databehandler.


Det løb er vidst kørt. Sålænge en dansk toppolitiker kan se sig indsat i et internationalt topembede med USAs hjælp, så vil vi ikke kunne udryde USA baserede virksomheder til at håndtere vores persondata.

Før i tiden kunne vi nøjes med at sende et antal unge danske mænd i døden i en USAsk krig. Og da dette offer i USA tilsyneladende opfattedes som en total underkastelse, mener USA tilsyneladende nu, at alt (i venners navn) er tilladt.

  • 3
  • 2
Sune Marcher

Come on, der er tale om et sølle udtræk på 900.000 poster, stort set ikke meget mere end på lommeregnerniveau, som oven i købet burde køre helt automatisk hver måned, men alligevel får man noget så simpelt til at gå galt.


De bliver garanteret timebetalt - så der er en db-admin der skal lave et SQL query, dette dump sendes til Manila for at blive renset for følsomme data, derefter til Bangladesh for at blive konverteret fra XML til CSV, og til sidst er der en blegfed studentermedhjælper der uploader CSV-filen (der blev sendt via plaintext email) til en ftp-server, der forøvrigt kører en oldnordisk version af wu-ftpd.

Lidt mere kompetente firmaer havde naturligvis automatiseret processen, men charged det samme antal timer... og et ansvarligt firma havde automatiseret, sikret, og charged et rimeligt beløb. Men det er jo CSC vi taler om.

Og nøøøøj hvor kunne det være sjovt, hvis NDA'erne for folk der arbejder for NETS udløb.

  • 12
  • 0
Peter Stricker

jeg har svært ved at forstå at man har en proces hvor man skal "rense data", i stedet for blot at have et fuldautomatiseret udtræk, der kun SELECT'er de data der skal bruges.


Rensningen bør i hvert fald ikke foregå hos CSC, men fremover vil jeg have svært ved at forestille mig, hvordan myndigheder der videreformidler data fra CSC, vil turde at undlade den proces.

http://en.wikipedia.org/wiki/Postel%27s_law

  • 0
  • 1
Jesper Høgh

...inkompetente halvhjerner er af Folketinget blevet pålagt at håndtere Danmarks digitale infrastruktur.

Ved at sige følgende overskrider jeg vel diverse terrorlovgivener, men jeg ta'r chancen: Vore politikere var at betegne som landsforæddere lang tid før dette. Men desværre er det eneste svar på en landsforrædderisk politiker noget (terror) som politikerne er beskyttet imod.

  • 0
  • 0
Sune Marcher

Rensningen bør i hvert fald ikke foregå hos CSC, men fremover vil jeg have svært ved at forestille mig, hvordan myndigheder der videreformidler data fra CSC, vil turde at undlade den proces.


Igen: "resning" er en helt forkert tankegang i det her scenarie.

Og så synes jeg man bør opskalere formuleringen: CSC bør ikke have noget som helst at gøre med personfølsomme data. Selv uden at trække Patriot Act kortet synes jeg at de gang på gang har bevist at de ikke er opgaven moden.

  • 8
  • 0
Jesper Høgh

...skal komme lidt mere ned på jorden, så har jeg endnu ikke hørt den frivillige, som vil ringe til Qvortrup igen og igen og igen, og banke på hans dør igen og igen og igen og hvis han åbner så pande ham nogen på hovedet og så anmelde ham for overfald. Men jeg må jo være syg.

  • 0
  • 0
Finn Christensen

Virker lidt som om Carsten Grage fra CPR-kontoret tror, at politikerne og læserne er dumme og at han derfor let kan omgå sandheden.

På den anden side kan det også være, at det er ham der er mindre skarp inden gennemsnittet....

Carsten Grage er DJØF'er, en jurist fra KU og kontorchef. Han kan både læse og skrive samt burde være tilstrækkeligt uddannet til at forstå CPR, datasikkerhed og nuværende problematik.

Men han er som andre x00.000 i den offentlige sektor blot ansat... får sin gode løn + pension for at holde skuden kørende.

Administrator og ikke typen der kræver et nyt og seriøst CPR system, eller den type der smækker med døren og forlader butikken i frustration.

  • 0
  • 0
Poul Pedersen

Så længe prisen og de diplomatiske krav fra USA er eneste parametre som leverandører til det offentlige vælges på, så vil vi blive ved med at se dem kvaje sig for vildt, for det får med garanti ingen konsekvenser i praksis.

Hvis man kunne melde dem til politiet og bødens størrelse var proportional med staklen der offentliggjorde 4 cpr-numre, så ville man måske kunne få en reaktion. Men det er naturligvis urealistisk, for offentlige myndigheder og deres leverandører har en helt anden målestok at arbejde ud fra: Borgerne er pr. definition terrorister, det kan myndigheder med reel magt jo naturligvis ikke være.

  • 1
  • 0
Christian Nobel

Jeg kender en smule til CPR. Sådan et udtræk er jo ikke kun fra en tabel. Du skal for eksempel huske at højde for folk, der har fået nyt cprnr, folk der har skiftet køn, historiske data etc etc.

Og du kan slet ikke se at man allerede der har fejlet big-time, når man begynder at rode den slags ind i en jeg-vil-ikke-have-reklamer liste?

Der er en grim tendens til at man i det offentlige søger vantvittigt komplekse svar på helt simple spørgsmål, og derefter strikker en frygtelig gang dyr og kompliceret omgang spagetti sammen, som på et eller andet tidspunkt enten dræner kassen, eller fejler katastrofalt (eller sågar begge dele).

Prøv bare at se på Den Fælles Offentlige Adressedatabase (FOA) som IT- og Telestyrelsen brugte 5,2 millioner kr. om året på - for at drifte og vedligeholde en database over 147 statslige institutioner, med i alt nogle få tusinde opslag.

At CSC har fejlet stort (og at tilsynet ikke har været bedre), kan vi sagtens blive enige om, men problemstillingen om udtræk er altså en anelse mere differentieret

Hvis du med differentieret mener at et på forhånd specificeret udtræk, som har kørt repetivt i årevis, skal laves fra grunden hver måned, ja så kan man nok tale om differentieret - jeg vil mere tale om sløseri og grov inkompetence.

  • 2
  • 0
Log ind eller Opret konto for at kommentere