CPR-numre, telefonnumre og underskrifter flød rundt i forsikringsselskabs pivåbne database

Forsikringsselskabet Dansk Boligforsikring har haft et væld af private informationer, herunder op imod 400 CPR-numre, liggende i en frit tilgængelig database. Informationer, der blandt andet gør det muligt at begå identitetstyveri, siger sikkerhedsekspert.

Op imod 100 købsaftaler i forbindelse med handel af ejendom - hver med to til fire CPR-numre, telefonnumre, underskrifter og e-mailadresser - har i årevis været frit tilgængelige på internettet.

Det er forsikringsselskabet Dansk Boligforsikring, som har begået den meget alvorlige overtrædelse af lovgivningen at lægge købsaftaler fra selskabets kunder op i en ikke-sikret database.

Fra databasen kunne forsikringsselskabets kunder hente deres sag og billeder ned via et link i en tilsendt mail. Men resten af databasens indhold har været tilgængelig ved hjælp af små justeringer i linkadressen, hvilket betyder, at alle netbrugere nemt har kunnet se de mange filer.

Ud over stærkt personfølsomme data indeholder databasen hundredvis af billeder fra skadesindberetninger, tegnede forsikringer samt mange andre forskellige informationer om de sager, som Dansk Boligforsikring har gennemgået i perioden 2012-2014.

Et læk af den art er en overtrædelse af straffelovens §11 stk. 3, vurderer juraprofessor Peter Blume, Københavns Universitet.

»CPR-numre betragtes som en særlig oplysning og fungerer som en dåseåbner til en lang række andre persondata og er en særlig type data, som under ingen omstændigheder må offentliggøres uden indehavernes samtykke,« siger Peter Blume.

Version2 har været i kontakt med en håndfuld tidligere kunder hos Dansk Boligforsikring, der var særdeles overraskede, da de fik at vide, at deres informationer var offentlige og havde været det længe. De havde i skrivende stund endnu intet hørt fra forsikringsselskabet.

»Det er skræmmende, at mine data ligger offentligt tilgængelige, når det er så nemt at begå identitetstyveri, som det er. Jeg har selv prøvet at få lavet et nyt kørekort uden at skulle opgive andet end mit CPR-nummer,« siger en tidligere kunde, Tommy Grønkjær Kristensen, der tilføjer, at han er glad for, at han netop har fået en forsikring mod identitetstyveri ind under sin indboforsikring.

Nedenstående illustrationen viser en indscannet underskriftsside med CPR-numre, navne og sagsnummer. Siden er sløret af redaktionen.

På baggrund af Version2's henvendelse blev databasen lukket for direkte tilgang mandag eftermiddag. Dansk Boligforsikring har indtil videre ikke ønsket at stille op til interview, men udtaler, at fejlen og ansvaret for lækagen ligger hos leverandøren, Meebox, der hoster databasen.

Men som privat virksomhed er det Dansk Boligforsikrings eget ansvar, at deres kunders data er sikre, anfører Datatilsynet.

»Helt generelt er det sådan, at man kan udlicitere det praktiske omkring IT, men man kan ikke udlicitere ansvaret,« siger kontorchef hos Datatilsynet Lena Andersen, der dog ikke vil udtale sig om den specifikke sag.

Fare for identitetstyveri

Ifølge sikkerheds- og virusanalytiker hos CSIS Group er der mange muligheder for at udnytte et CPR-nummer. Man kan udnytte det direkte til at tilgå andre persondata, eller man kan bruge det til at lokke yderligere informationer ud af den kompromitterede person selv. For eksempel ved at skrive en mail, der indeholder CPR- og mobilnummeret og dermed fremstår mere troværdig.

»Har man mailadressen, telefonnummeret og CPR-nummeret, er man godt på vej til at kunne udføre forskellige kriminelle ting som identitetstyveri og falskneri,« siger Peter Kruse, der desuden omtaler underskrifterne i kontrakterne som endnu et søm i kisten.

»Hvis ens CPR-nummer først er kompromitteret, er det mit klare indtryk, at det i Danmark er svært at få et nyt. Forholdet mellem kompromitterede CPR-numre og antallet af folk, der får lov til at få et nyt, er meget skævt. Derfor må man som kompromitteret borger sandsynligvis være nødt til bare at leve med det,« siger Peter Kruse.

Berørte kan kontakte Datatilsynet

De kompromitterende dokumenter var dateret mellem 2012 og 2014, og hvis man i det tidsrum har fået lavet købsaftaler, eller på anden vis indsendt legitimerende dokumenter til Dansk Boligforsikring, kan man med fordel rette henvendelse enten til Dansk Boligforsikring eller Datatilsynet.

OPDATERET: Version2 har nu snakket med Meebox, der ærgrer sig over at være blevet gjort til syndebuk for så alvorlige fejl:

»Jeg kan kun tage kraftig afstand fra disse anklager og vil gerne understrege, at Meebox's servere eller systemer på intet tidspunkt er blevet komprimiteret eller har sikkerhedsbrister,« siger teknisk direktør hos Meebox Anders Eiler.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Christiansen

Det er rystende at se en så stor uvidenhed hos et firma og at de så
giver skylden for deres "programmørs" uvidenhed til meebox, er bare
endnu en kæp på uvidenhedens bål.

Jeg ser gang på gang nye programmører, der er fantastisk gode til det
sprog de arbejder i, begå de samme basale fejl.

Det er fint af de behersker sproget, men det er altså bare en meget lille
del af det at udvikle et program. Man bliver altså nødt til i 2015 at beherske
den teknologi man arbejder "oven på", for at undgå den slags brølere.

Den gyldne regel:

1) Stol ALDRIG på data/input fra brugeren

Kan gøre det af med 99% af de fejl der ses rundt omkring.

Henrik Pedersen

Edit: Lige for at gøre det klart. Jeg ved godt det her var en softwarefejl som ikke har noget med hostingudbyderen at gøre... Alligevel...

Jeg har tit undret mig over noget andet. Var det mon på en VPS eller shared hosting?

Som konsulent ser jeg tit SÆRDELES kritiske og personfølsomme systemer køre i helt almindelig shared hosting på en privat hosting pakke (for den er billigere end erhverv eller gud ved hvad pokker?)..

Nu ved jeg også at Meebox vidst har nogle "flotte godkendelser" for deres fysiske setup, men er det virkelig smart at hoste så forretningskritiske og personfølsomme ting sådan et sted?

Jeg er bare oprigtig nysgerrig - Hvor ville I hoste det henne, ud over den "obvious" med at køre et fysisk datacenter på egen matrikel? Evt. Co-location servere et kendt sted? Private cloud? AWS i Frankfurt? (lad os ignorere NSA for nu, de er alle steder anyway).

Mogens Lysemose

Så længe det er gratis at begå den slags grove forsømmelser og skødesløshed men koster tid og penge at forhindre dem, hvorfor skal nogen så dog bruge tid og penge på det?
Vi ser det jo igen og igen hvor de skyldige slipper gratis fra det og en eventuel Udnytter straffes (selvfølgelig også ok).
Min retsfølelse er i den grad provokeret!

Benjamin Bach

Ved at give Meebox skylden for noget, der er strafbart og sikkert endda mod eget bedrevidende (Dansk Boligforsikring ved da godt, at det er deres egen fejl og ikke Meebox' fejl), burde Meebox kunne stævne dem for injurierende udtalelser til pressen...?

Niels Danielsen

Jeg syntes at det er en dårlig ide at give folk nyt CPR nummer, problemet er at hvis folk skal have nyt nummer hver gang der tabes data, så går det hen og bliver en årlig begivenhed med at det bøvl det indebære mht. at oprette nye aftaler med dem der har ens CPR nummer.

CPR nummeret skal kun være kendt af CPR registeret, samt borgeren, og må ikke kunne bruges som identifikation af 3'de part. (Denne funktionalitet skal simpelthen fjernes fra protokolerne som banker, og lign. bruger)

I stedet skal der anvendes en række alias (f.eks. GUID's) som CPR registeret kan bruge til at identificere en given borger. Det samme alias må ikke genbruges, dvs. id kort, banker, forsikrings selvskaber skal have hver sit alias for den samme person.

Det gør det nemt at lukke af hvis et alias bliver misbrugt.
Det virker faktisk som om at systemet findes, hvis jeg logger ind på CPR.dk kan se se det alias som dkhostmaster har på mig.

Casper Olsen

Godt at se i nu har fået en kommentar fra Meebox, undret mig faktisk over at der ikke allerede var en kommentar fra dem eller note om at de nægtede at udtale sig, ligesom med Dansk Boligsikring (som dog lige ville hænge deres host ud, inden de nægtede at udtale sig)...

Per Hansen

Det bør gøres strafbart for alle former for virksomheder, herunder det offentlige, at bruge CPR-nummer som autentifikation (altså som adgangskode).

Tving alle virksomheder til at benytte andre former for autentifikation, som en identitetstyv ikke kan omgå. Det kunne fx omfatte tiltag som at virksomheden skal ringe tilbage til det telefonnummer, de på forhånd har registreret på den person, som ringer, før de udleverer personlige oplysninger i telefonen og før de foretager handlinger efter ønske fra den person, som den der ringer udgiver sig for at være. Samt at de kun må ringe til det pågældende nummer, hvis de tidligere har verificeret at telefonnummeret faktisk når den rette person. Måske krydret med brug af egentlige og virksomhedsspecifikke adgangskoder, som skal nævnes i telefonen, og som det er muligt for den enkelte at ændre straks, hvis man bliver udsat for identitetstyveri eller frygter at være blevet udsat for det.

Altså regler, som gør, at et identitetstyveri kan standses, så snart man bliver bevidst om det eller får mistanke om det.

Lad en gruppe intelligente personer (dvs. ikke politikere) gennemtænke nogle regler af den slags og gør det så strafbart for virksomhederne hvis de ikke bliver fulgt.

Log ind eller Opret konto for at kommentere