Cpr-numre flyder (stadig) på nettet - og hvad så?
Det er på det nærmeste ikke til at sparke sig vej frem for mængden af personnumre, som danske hjemmesider eksponerer overfor Google og internetbrugere generelt.
Det fremgår af test-søgninger, som Version2 har gennemført, og af flere læserhenvendelser, vi har modtaget om cpr-læk, i løbet af den seneste uges tid.
Det umiddelbart grelleste eksempel, som flere læsere gjort os opmærksomme på, kommer fra en hjemmeside for, hvad der ligner en mindre webudviklingsvirksomhed. Via virksomhedens domæne ser mere end tusind cpr-numre ud til at være blevet lækkede.
Oplysningerne var, da vi undersøgte sagen, ikke længere tilgængelige på den oprindelige webserver, men cpr-numrene lå stadig og blomstrede i Googles cache.
Det er ikke lykkedes os at komme i kontakt med den ansvarlige, men numrene ser nu ud til at være væk fra Google også. Der er delte meninger om, i hvor høj grad kendskab til et cpr-nummer i dag kan misbruges af kriminelle. Det er antageligt sværere at misbruge kendskabet til andres cpr-numre i 2017, end det var for 10 år siden, al den stund at der kommet et øget fokus på, at nummeret ikke i sig selv kan bruges til autentifikation. Altså til at bekræfte identiteten på en person i forbindelse med eksempelvis udstedelse af et betalingskort. Sådan noget som identitetstyveri vil dog alt andet lige nok være lettere, jo flere personoplysninger - herunder et cpr-nummeret - en angriber kan få kendskab til. I forhold til identitetstyveri oplyser Det Kriminalpræventive Råd, at »det er imidlertid svært at misbruge CPR-oplysninger til at købe varer eller oprette lån på nettet. Men hvis man mister eller får stjålet sin pung med identitetspapirer som f.eks. kørekort og sygesikringsbevis, kan de misbruges til at foretage kreditkøb i butikker«. En nøgle »Det er i hele samfundet, så derfor er det virkeligt at gøre sig selv en bjørnetjeneste, hvis man betragter personnummeret som noget helt unikt, der skal beskyttes, som var det en pinkode eller lignende. Det vil også være med til skabe et billede af, at personnummeret kan bruges til at autentificere en person. Det kan man ikke, og det må man ikke kunne,« sagde Carsten Grage i en Version2-artikel i 2014. I samme artikel kalder Carsten Grage det for en skrøne, at »bare fordi man opfanger en andens personnummer, så kan man eksempelvis lige gå ind i en bank og hæve penge«. En særlig beskyttelse Det forklarede tidligere kontorchef i Datatilsynet Lena Andersen i artiklen fra 2014. Af paragraf 11 i loven fremgår det således, at nummeret ikke må offentliggøres uden udtrykkeligt samtykke. Endvidere er der paragraf 41, som stiller krav til dataansvarlige og databehandlere om at træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab. »Generelt kan man sige, at hvis nogen bevidst offentliggør cpr-numre, så er det paragraf 11, vi kigger på. Hvis en kommune eller en virksomhed som følge af fejl og utilstrækkelig sikkerhed kommer til at offentliggøre cpr-numre, så er det paragraf 41,« forklarede Lena Andersen til Version2 tilbage i 2014. Kilder: Version2, Det Kriminalpræventive Råd, PersondatalovenCpr og misbrug
Chef for CPR-kontoret under økonomi- og indenrigsministeriet Carsten Grage har tidligere fortalt til Version2, at cpr-nummeret skal betragtes som en nøgle, der kan bruges til at identificere personer med.
Selvom uvedkommendes kendskab til et cpr-nummer i sig selv nok ikke medfører den store ulykke i dag, så nyder nummeret ikke desto mindre en særlig beskyttelse i Persondataloven.
I forlængelse af ovenstående søgte vi lidt på nettet og opdagede, at DR også var kommet til at eksponere persondata - her var det cpr-numre for flere musikere.
Det er der blandt andet kommet en artikel ud af, hvor DR fortæller om at fjerne personoplysningerne fra Googles cache. Vores research viser, at flere måske kunne få glæde af at læse denne artikel.
Takket være læserhenvendelser er vi også blevet opmærksomme på, at hjemmesiden for Studenterforeningen for danske dyrlægestuderende (VeterinærMedicinsk Forening) er kommet til at eksponere et regneark med i nærheden af tusind cpr-numre.
»Den omtalte liste har ligget på et lukket forum, som ikke er offentligt tilgængeligt og ikke har været i brug siden 2013. Desværre har det ved en fejl været muligt at søge sig frem til filen, hvilket vi blev gjort opmærksom på den anden dag af en tidligere dyrlægestuderende. Denne fejl er dybt beklagelig, men fejlen er rettet, og den omtalte liste ligger ikke længere offentligt tilgængeligt,« fortæller formand for VeterinærMedicinsk Forening Ane Laursen Dahlkilde til Version2 i en mail.
Fødselsdagssøgninger
Når denne artikel bliver indledt med påstanden om, at det ikke skulle være til at sparke sig vej frem for cpr-numre på nettet, så det naturligvis en noget subjektiv betragtning, som dog bunder i mere end de foreløbigt nævnte eksempler.
På redaktionen har vi under researchen søgt på vores egne fødselsdage efterfulgt af en bindestreg. Altså en søgning på noget i retning af '123456-'.
Første søgning på Google returnerede et cpr-nummer på en anden person med samme fødselsdag som den, der var angivet i søgningen.
Det - i sammenhængen - succesfulde resultat inspirerede en anden kollega til også at prøve en søgning på vedkommendes fødselsdag efterfulgt af en bindestreg. Og igen dukkede der et cpr-nummer på en person med samme fødselsdag.
Et af de cpr-numre, der dukkede op i forbindelse med fødselsdagssøgningerne, stammer fra opgavebank.dk
Her kan studerende selv lægge eksamensopgaver op til brug som kildemateriale i andre opgaver. På nogle af opgaverne på sitet har der været cpr-numre, som er blevet indekseret af Google.
»Sitet er et nonprofit-initiativ og har ingen indtægtskilder, hvorfor vi ikke har haft ressourcer til at gennemse de opgaver, der uploades,« fortæller kontaktperson på sitet Thomas Wedell-Wedellsborg via mail.
Hjemmesiden er nu pillet ned, mens opgaverne med synlige cpr-oplysninger bliver fjernet.
Datatilsynet kan godt genkende det
Det er altså ikke just vanskeligt at grave cpr-numre frem på internettet. En formodning, som kontorchef hos Datatilsynet Jesper Husmer Vang umiddelbart deler.
»Jeg kan sagtens nikke genkende til det. Vi ser jo løbende sager,« siger han
Lige hvad de kommunale hjemmesider angår, så skulle der dog være færre cpr-læk, end det tidligere har været tilfældet. Det skyldes ifølge Jesper Husmer Vang, at kommunerne er blevet bedre til at scanne deres hjemmesider for, om der skulle ligge cpr-oplysninger.
Men bortset fra de kommunale hjemmesider, der altså skulle være blevet bedre til ikke at lække borgernes oplysninger, så står det altså umiddelbart stadig sløjt til med cpr-numre på nettet.
»Jeg kan godt genkende det, du siger med eksamensopgaver og sådan nogle ting. Universiteterne har excelleret i det her ad flere omgange. Vi ser løbende sager, og hvis jeg satte mig ned nu og søgte, så ville jeg også kunne finde de første tre sager.«
Men er det et problem?
Det er - jævnfør Persondataloven - ikke tilladt at offentliggøre cpr-numre uden samtykke. Tilbage står spørgsmålet dog om, i hvor høj grad cpr-numre i dag overhovedet kan misbruges af kriminelle til identitetstyveri, tømning af bankkonti og den slags.
En antagelse i den sammenhæng kunne være, at der blandt andet takket være det mediemæssige fokus på området gennem de seneste 10 år er kommet en generelt bredere forståelse for, at et cpr-nummer alene kan bruges til identifikation og ikke til autentifikation - altså til at bekræfte, at en person er den, han eller hun giver sig ud for at være.
Selvom konkrete sager med misbrug, der involverer cpr-oplysninger, i udgangspunktet er et strafferetligt anliggende og altså ikke noget, Datatilsynet direkte har noget med at gøre, så hører tilsynet stadig om den slags sager fra tid til anden, forklarer Jesper Husmer Vang
»Det kan godt være, problemet er mindre, men det er der nok stadig i et eller andet omfang,« siger han.
Hos Rådet for Digital Sikkerhed er formand Henning Mortensen rimelig sikker på, at problemer i forhold til cpr-misbrug er mindre i 2017, end de var i 2007.
»Det er også klart min opfattelse. Jeg tror ikke, man kan bruge det til lige så meget, som man har kunnet, men det afhænger af de evner, man har,« siger han.
»En teoretisk frygt«
Henning Mortensen føler sig dog også ganske overbevist om, at hvis en angriber går målrettet efter at kompromittere en person, så vil cpr-nummeret kunne bruges.
»Du kan formodentlig stadig godt gøre en del ting med et cpr-nummer, men jeg har ikke konkrete eksempler.«
Et muligt konkret misbrugsscenarie i privacy-genren kunne eksempelvis være at ringe til lægen, og via et cpr-nummer aflyse eller oprette en tid på vegne af en anden person.
»Det er jeg helt sikker på, du kan,« siger Henning Mortensen, der også gætter på, det vil være muligt at ringe til Skat og få ændret en andens oplysninger alene ved at opgive et cpr-nummer.
Til gengæld føler Henning Mortensen sig også sikker på, at det ikke ville være muligt at rydde en dansk bankkonto via banken alene med cpr-nummeret.
I forhold til, hvor alvorligt det er, hvis kriminelle får fingrene i et cpr-nummer her i 2017, så har Henning Mortensen som sådan ikke et endegyldigt svar.
»Jeg har jo ikke prøvet. Den frygt, jeg har, er jo en teoretisk frygt. For det første har jeg ikke været udsat for det selv, og for det andet så har jeg ikke selv siddet og prøvet at stjæle identiteter. Jeg ved ikke, hvor langt man er i stand til at gå.«
Men hvad tænker Version2's læsere? Ud over det lovmæssige er det så et reelt problem, at danske personnumre ligger frit tilgængelige på nettet?
