Cpr-numre flyder (stadig) på nettet - og hvad så?

anonym privacy
Nettet nærmest bugner af cpr-numre. Spørgsmålet er, om det er et problem.

Det er på det nærmeste ikke til at sparke sig vej frem for mængden af personnumre, som danske hjemmesider eksponerer overfor Google og internetbrugere generelt.

Det fremgår af test-søgninger, som Version2 har gennemført, og af flere læserhenvendelser, vi har modtaget om cpr-læk, i løbet af den seneste uges tid.

Det umiddelbart grelleste eksempel, som flere læsere gjort os opmærksomme på, kommer fra en hjemmeside for, hvad der ligner en mindre webudviklingsvirksomhed. Via virksomhedens domæne ser mere end tusind cpr-numre ud til at være blevet lækkede.

Oplysningerne var, da vi undersøgte sagen, ikke længere tilgængelige på den oprindelige webserver, men cpr-numrene lå stadig og blomstrede i Googles cache.

Det er ikke lykkedes os at komme i kontakt med den ansvarlige, men numrene ser nu ud til at være væk fra Google også.

I forlængelse af ovenstående søgte vi lidt på nettet og opdagede, at DR også var kommet til at eksponere persondata - her var det cpr-numre for flere musikere.

Det er der blandt andet kommet en artikel ud af, hvor DR fortæller om at fjerne personoplysningerne fra Googles cache. Vores research viser, at flere måske kunne få glæde af at læse denne artikel.

Læs også: Musikeres cpr-numre blotlagt af tudsegammelt it-system hos DR

Takket være læserhenvendelser er vi også blevet opmærksomme på, at hjemmesiden for Studenterforeningen for danske dyrlægestuderende (VeterinærMedicinsk Forening) er kommet til at eksponere et regneark med i nærheden af tusind cpr-numre.

»Den omtalte liste har ligget på et lukket forum, som ikke er offentligt tilgængeligt og ikke har været i brug siden 2013. Desværre har det ved en fejl været muligt at søge sig frem til filen, hvilket vi blev gjort opmærksom på den anden dag af en tidligere dyrlægestuderende. Denne fejl er dybt beklagelig, men fejlen er rettet, og den omtalte liste ligger ikke længere offentligt tilgængeligt,« fortæller formand for VeterinærMedicinsk Forening Ane Laursen Dahlkilde til Version2 i en mail.

Fødselsdagssøgninger

Når denne artikel bliver indledt med påstanden om, at det ikke skulle være til at sparke sig vej frem for cpr-numre på nettet, så det naturligvis en noget subjektiv betragtning, som dog bunder i mere end de foreløbigt nævnte eksempler.

På redaktionen har vi under researchen søgt på vores egne fødselsdage efterfulgt af en bindestreg. Altså en søgning på noget i retning af '123456-'.

Første søgning på Google returnerede et cpr-nummer på en anden person med samme fødselsdag som den, der var angivet i søgningen.

Det - i sammenhængen - succesfulde resultat inspirerede en anden kollega til også at prøve en søgning på vedkommendes fødselsdag efterfulgt af en bindestreg. Og igen dukkede der et cpr-nummer på en person med samme fødselsdag.

Et af de cpr-numre, der dukkede op i forbindelse med fødselsdagssøgningerne, stammer fra opgavebank.dk

Her kan studerende selv lægge eksamensopgaver op til brug som kildemateriale i andre opgaver. På nogle af opgaverne på sitet har der været cpr-numre, som er blevet indekseret af Google.

»Sitet er et nonprofit-initiativ og har ingen indtægtskilder, hvorfor vi ikke har haft ressourcer til at gennemse de opgaver, der uploades,« fortæller kontaktperson på sitet Thomas Wedell-Wedellsborg via mail.

Hjemmesiden er nu pillet ned, mens opgaverne med synlige cpr-oplysninger bliver fjernet.

Datatilsynet kan godt genkende det

Det er altså ikke just vanskeligt at grave cpr-numre frem på internettet. En formodning, som kontorchef hos Datatilsynet Jesper Husmer Vang umiddelbart deler.

»Jeg kan sagtens nikke genkende til det. Vi ser jo løbende sager,« siger han

Lige hvad de kommunale hjemmesider angår, så skulle der dog være færre cpr-læk, end det tidligere har været tilfældet. Det skyldes ifølge Jesper Husmer Vang, at kommunerne er blevet bedre til at scanne deres hjemmesider for, om der skulle ligge cpr-oplysninger.

Men bortset fra de kommunale hjemmesider, der altså skulle være blevet bedre til ikke at lække borgernes oplysninger, så står det altså umiddelbart stadig sløjt til med cpr-numre på nettet.

»Jeg kan godt genkende det, du siger med eksamensopgaver og sådan nogle ting. Universiteterne har excelleret i det her ad flere omgange. Vi ser løbende sager, og hvis jeg satte mig ned nu og søgte, så ville jeg også kunne finde de første tre sager.«

Men er det et problem?

Det er - jævnfør Persondataloven - ikke tilladt at offentliggøre cpr-numre uden samtykke. Tilbage står spørgsmålet dog om, i hvor høj grad cpr-numre i dag overhovedet kan misbruges af kriminelle til identitetstyveri, tømning af bankkonti og den slags.

En antagelse i den sammenhæng kunne være, at der blandt andet takket være det mediemæssige fokus på området gennem de seneste 10 år er kommet en generelt bredere forståelse for, at et cpr-nummer alene kan bruges til identifikation og ikke til autentifikation - altså til at bekræfte, at en person er den, han eller hun giver sig ud for at være.

Selvom konkrete sager med misbrug, der involverer cpr-oplysninger, i udgangspunktet er et strafferetligt anliggende og altså ikke noget, Datatilsynet direkte har noget med at gøre, så hører tilsynet stadig om den slags sager fra tid til anden, forklarer Jesper Husmer Vang

»Det kan godt være, problemet er mindre, men det er der nok stadig i et eller andet omfang,« siger han.

Hos Rådet for Digital Sikkerhed er formand Henning Mortensen rimelig sikker på, at problemer i forhold til cpr-misbrug er mindre i 2017, end de var i 2007.

»Det er også klart min opfattelse. Jeg tror ikke, man kan bruge det til lige så meget, som man har kunnet, men det afhænger af de evner, man har,« siger han.

»En teoretisk frygt«

Henning Mortensen føler sig dog også ganske overbevist om, at hvis en angriber går målrettet efter at kompromittere en person, så vil cpr-nummeret kunne bruges.

»Du kan formodentlig stadig godt gøre en del ting med et cpr-nummer, men jeg har ikke konkrete eksempler.«

Et muligt konkret misbrugsscenarie i privacy-genren kunne eksempelvis være at ringe til lægen, og via et cpr-nummer aflyse eller oprette en tid på vegne af en anden person.

»Det er jeg helt sikker på, du kan,« siger Henning Mortensen, der også gætter på, det vil være muligt at ringe til Skat og få ændret en andens oplysninger alene ved at opgive et cpr-nummer.

Til gengæld føler Henning Mortensen sig også sikker på, at det ikke ville være muligt at rydde en dansk bankkonto via banken alene med cpr-nummeret.

I forhold til, hvor alvorligt det er, hvis kriminelle får fingrene i et cpr-nummer her i 2017, så har Henning Mortensen som sådan ikke et endegyldigt svar.

»Jeg har jo ikke prøvet. Den frygt, jeg har, er jo en teoretisk frygt. For det første har jeg ikke været udsat for det selv, og for det andet så har jeg ikke selv siddet og prøvet at stjæle identiteter. Jeg ved ikke, hvor langt man er i stand til at gå.«

Men hvad tænker Version2's læsere? Ud over det lovmæssige er det så et reelt problem, at danske personnumre ligger frit tilgængelige på nettet?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (22)

Kommentarer (22)
Anne-Marie Krogsbøll

Det er i hvert fald et problem som symptom på, hvor slemt det står til med datasikkerheden. Hvis man kan finde cpr-numre, kan man også finde andet.

Det er sikkert rigtigt, at det er umuligt at sikre data fuldstændigt. Men når sikkerheden bevisligt er så ringe, som den ene historie efter den anden viser (der er jo efterhånden daglige grove historier), så må man gøre det næstbedste: Slå bremserne i, give den digitale data-golddigging fra det offentliges side en lang pause, og i stedt koncentrere sig om at finde effektive, langtidsholdbare sikkerhedsløsninger og grænser om privatlivet.

Man kan ikke tillade sig blot at fortsætte sit eksponentielt voksende tvangsdatatyveri af borgernes privatliv, og da slet ikke når sikkerheden bevisligt er så ringe.

Simon Mikkelsen

De uklare love, om bl.a. at man ikke må offentliggøre CPR-nummeret, er med til at fastholde en misforståelse af, at folk der kender nummeret har lov til noget som helst.

Der bør lovgives, at CPR-nummeret 1. er frit tilgængeligt og 2. ikke må bruges til andet end identifikation. Accepterer nogen fx en låneaftale alene baseret på navn, adresse og CPR-nummer, vil den automatisk være ugyldig uden yderligere diskussion.

Når det er sagt, så er CPR-nummeret jo en teknisk forholdsvis nem måde at finde ting på, som ikke burde ligge på nettet. Fokus er bare i højre grad på CPR-numre frem for de informationer der følger med dem.

Tauno Suikkanen

Offentlige personnumrer er nok næppe det store problem for nogen, HVIS man selv får lov at definere området, hvor det skal overvejes.

Men hvis vi nu går lidt ud over de områder, der er defineret i artiklen.

Personligt synes jeg det er et stort problem at andre (f.eks Google) er dem, der styrer hvilke informationer jeg får, jeg frygter når AI algoritmer, som udviklererne ikke engang selv forstår, skal anvendes til at "styre mig" osv. (her taler jeg ikke alene om information, men også IoT hardware). Alt dette gøres meget nemmere hvis de store amerikanske virksomheder har en præcis ID på mig.

Der er sikkert mange andre steder, hvor jeg ikke ønsker at nogen skal vide mere om mig, end jeg selv ved.

Hvorfor skal jeg afgive mit privat liv til store firmaer, for at få lov at deltage i samfundet ? Kan man købe en bærbar uden at afgive en del rettigheder omkring sit privatliv ? Kan man købe en telefon uden at... osv. Kan man deltage på lige fod i samfundet, hvis man ikke har en telefon, pc osv ? Jo, jeg ved godt man kan slippe for en del, hvis man har ekstra penge og er specialist på området.

Så derfor mener jeg kun ID skal oplyses når folk selv vil og det er nødvendigt i den aktuelle situation. Det skal heller ikke være tilladt at kræve oplysninger om privatliv, ved at tage adgang til det sociale liv og samfundet som gidsel.

Bjarne Nielsen

Der bør lovgives, at CPR-nummeret 1. er frit tilgængeligt og 2. ikke må bruges til andet end identifikation.

Iom. at nummeret er meningsbærende, så er det ikke så simpelt.

Det vil fortælle fødselsdato for alle, og det er en betydelig hjælp, hvis man vil re-identificere "anonymiserede" data. Der er ingen grund til at hjælpe der.

Men man kan også udfra løbenummer komme med et kvalificeret gæt på om det tilhører en adopteret person (der er ingen klar regel, men de "stod sidst i køen", så de har oftere høje løbenumre).

Jakob Rosenkrantz de Lasson

Jeg undrede mig selv for et par år siden over, hvorfor en persons CPR-nummer giver adgang til så meget:

"Kan man virkelig på den måde få adgang til alle identitets- og økonomirelaterede aspekter af en persons tilværelse blot ved at kende personens CPR-nummer? Hvis ja, hvorfor er CPR-numre så ikke bedre beskyttet?

De står på forsiden af vores sygesikringsbevis - hvilket en ondsindet person nemt kan opsnappe, når kortet er fremme - og man bliver ofte bedt om det i telefonen, f.eks. hos lægen, og på apoteket og lignende steder. CPR-numre er ikke som eksempelvis pinkoder omgærdet af en naturlig fortrolighed, og det er derfor mærkværdigt, at man med denne relativt nemt tilgængelige information kan få adgang til så meget af en anden persons identitet."

Maciej Szeliga

Der bør lovgives, at CPR-nummeret 1. er frit tilgængeligt og 2. ikke må bruges til andet end identifikation. Accepterer nogen fx en låneaftale alene baseret på navn, adresse og CPR-nummer, vil den automatisk være ugyldig uden yderligere diskussion.


Jeg mener nu at CPR-nummeret indeholder for mange oplysninger i sig selv til at være "uskadeligt": alder, køn, tildelt ved fødsel eller ved opholdstilladelse (første ciffer i løbenummer) og bør derfor udskiftes med et simpelt løbenummer uden reel information som derfor let kan udskiftes ved behov.

I øvrigt er der civiliserede lande som klarer sig fint uden CPR-nr...

Morten Borg

Eneste løsning er vel at sidestille CPR numre med for eksempel CVR numre som rent faktisk er offentlig tilgængelig.

Principielt enig, for mig er et CPR nummer grundlæggende også bare et ligegyldigt database ID.

Problemstillingen, som flere andre har påpeget, er bare at et CVR nummer netop bare er et totalt tilfældigt fortløbende nummer, mens CPR nummeret indeholder personfølsomme oplysninger. Derfor bør CPR nummeret som det første laves om et til tilfældigt (heller ikke fortløbende) nummer, DEREFTER kan de "frigives".

Tauno Suikkanen

Hvordan løser det, at det ikke gøres let at systematisere indsamling af oplysninger om privatliv. Eventuelt data fra datalæk, men også bare noget som folk lokkes/presses til at aflevere. Problemet med cpr er jo, at det er en præcis id (og derfor jo ikke kan ændres).

Samtidig har den enkelt jo slet ikke overblik over, hvad der ligger af oplysninger - og om de er korrekte og hvad de bruges til.

CVR er også en identifikation, men af en struktur eller hvad du vil kalde det, som kan slukkes eller ændres. CPR er et menneske som måske ikke vil huskes for alting i alle sammenhænge. Alle sammenhænge - slet ikke når det skal bruges til at udnytte dem.

Ivo Santos

Ja Okay

  • Jeg er da enig af numrene burde være tilfældig på en eller anden måde.
  • Naturligvis bør relationen mellem nummer og fulde navn ikke være offentlig tilgængelig som det er med CVR nummer systemet.

Den sidste begrundelse giver da også lidt sig selv for det ville da være tåbeligt hvis svindel organisationer så som de der microsoft support fra Indien uden videre kunne hente hele databasen ned, men naturligvis skal lægere og andre relevante stadigvæk have samme adgang som de altid har haft.

Det er ind i mellem lidt svært at gennemtænke alle aspekterne af de ting man skriver om i en kommentar.

Bjarne Nielsen

Fordelen ved det nuværende cpr-nummer er, at det er et stabilt og globalt ID, som gør det nemt at sammenkøre oplysninger eller finde ud af, om det er den samme person, man har registreringer om.

Ulempen ved det nuværende cpr-nummer er, at det er et stabilt og globalt ID, som gør det nemt at sammenkøre oplysninger eller finde ud af, om det er den samme person, man har registreringer om.

Maciej Szeliga

Hvilken ?


jf. Wikipedia (jeg gider ikke lave en dybere kontrol) har:
* Australien har ikke noget og der er specifik forbud mod brug af skatte-id som generel ID
* Canada har afsluttet brugen af deres SIN i 2004 (som generel ID)
* England har ikke noget generel ID
* Portugal har forbud mod generel ID
* Tyskland har forbud mod at registrere folk under et id

...og Japan har først lige valgt at indføre et i 2016.

Mange lande har simple løbenumre som ikke afslører noget om personen og så er der alle de lande som i sin tid faldt i samme fælde som Danmark og tænkte "Gud det ville være smart hvis nummeret fortæller noget om personen".

Lasse Steen Bohnstedt

Jeg kan komme på ét realistisk scenarie:
Hvis du får medicin, der kan misbruges (ritalin eller morfinpræperater fx), er det et problem, hvis en anden finder ud af det, gætter dit cpr, går på apoteket og får medicinen udleveret. Man kan godt få udleveret "sin ægtefælles" medicin uden at have deres sygesikringskort.

Henrik Biering Blogger

Persondataforordningens krav om "Data Protection by Design and by Default" og "Security of Processing" vil på sigt føre til at CPR-nummeret må afvikles. Det skyldes at krav til f.eks. pseudonymiseret databehandling, confidentialitet og integritet er kædet op på den teknologiske udvikling, der løbende billiggør effektiv databeskyttelse.

Allerede i dag er det god praksis at benytte formåls- eller parts-specifikke ID'er, der kun kan sammenkædes af brugeren selv - eller i visse tilfælde af andre via lovhjemmel. Så CPR-nummeret er allerede nu en teknisk anakronisme. Efterhånden som der udvikles "Codes of Conduct" og Certificeringsmekanismer til GDPR vil det blive helt umuligt at forsvare den fortsatte brug af et fælles og beskrivende ID på tværs af diverse sektorer og anvendelser.

Så det er lige så godt at komme i gang med en gradvis afvikling af CPR-nummeret allerede nu.

Aksel Bork

Selvom CPR-numre ikke bliver betragtet som følsomme personoplysninger af Datatilsynet, og ikke bør kunne bruges til andet end at slå op i et it-system med, så er det forbudt at offentliggøre den.

https://www.version2.dk/artikel/cpr-nummeret-er-ikke-en-foelsom-personop...

Er det i bund og grund ikke fordi man, for at gør det lettere for opslag i forskellige systemer, har valgt at benytte noget som betragtes som unik.
Selv om CPR reelt ikke må betragtes som den unikke nøgle i et register, men skal kombineres med andre nøgler.
Det er klart en forkert holdning, at man blot kan identificere sig ved at give et nummere, unden at kunne give andre personlige detaljer, som til sammen giver en meget mere unik nøgle

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017