Dansk hjemmeside har adgang til alle CPR-numre: Her er Thornings CPR-nummer

10. juni 2013 kl. 11:1426
Toppolitikeres CPR-numre udstilles i et lotteri på ny hjemmeside. Bagmandens hensigt er at få lavet måden, CPR-numre bruges på, om.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Det er ikke svært at få adgang til andres cpr-numre. Det viser en ny hjemmeside, hvor man kan spille CPR-lotteri med kendte politikere.

På hjemmesiden bliver man præsenteret for fem forskellige kendte folketingspolitikere, og skal så gætte deres CPR-nummer ud fra fire forskellige muligheder. Til sidst får man at vide, hvor mange rigtige man havde.

Bag hjemmesiden står it-iværksætteren Søren Louv-Jansen, der er godt træt af den måde, CPR-numre bliver brugt på i Danmark. Man kan nemlig i dag blandt andet oprette kvik-lån, mobilabonnementer og kreditkort i andres navn, blot man er bevæbnet med deres CPR-nummer. Man kan også få adgang til andres fortrolige dokumenter og bestille og afhente receptpligtig medicin.

»De kunne selvfølgelig lukke de her huller. Men det er et problem at man kan bruge CPR-numre til fx at låne penge,« siger Søren Louv-Jansen til Version2.

Artiklen fortsætter efter annoncen

Søren Louv-Jansen mener ikke, det er et problem, at det er så nemt at finde CPR-numre, som det er. Problemet ligger nemlig et andet sted.

»CPR-nummeret er bare et nummer. Hvis folk skal sende dig en e-mail, sender de den til din e-mailadresse. På samme måde kan man bruge dit CPR-nummer hvis man vil sende dig noget. Men på en e-mailadresse er der en kode. Det er der ikke på dit CPR-nummer,« siger Søren Louv-Jansen til Version2.

Nej tak til lappeløsninger

Søren Louv-Jansen har lavet hjemmesiden med CPR-lotteri for at vise, hvor let tilgængelige CPR-numre egentlig er. Problemet ligger dog ikke i tilgængeligheden, men i hvor mange ting man egentlig kan når blot man har en persons CPR-nummer.

Det er især to steder, der står for lemfældig omgang med CPR-numre.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Problemet ligger hos teleselskaberne og hos mikrobanker, hvor man kan låne penge. Blandt andet har jeg fundet oplysninger hos Ikano Bank,« siger Søren Louv-Jansen til Version2.

Disse to steder kan man identificere sig alene ved hjælp af CPR-nummer, og det gør det utrolig nemt at misbruge, så snart man har adgang til en anden persons CPR-nummer.

Søren Louv-Jansen vil dog helst ikke ud med, præcis hvor han har fundet hullerne hos teleselskaberne og mikrobankerne. I hvert fald ikke endnu.

»Hvis jeg går ud og siger det, patcher de bare hullet. Så kan de sige ’tada, hullet er lukket.’ Så går der et par måneder, og så finder jeg et nyt. Det er bare symptombehandling,« siger Søren Louv-Jansen til Version2.

Og det er ikke første gang, Søren Louv-Jansen har påpeget de mange huller i systemet.

»Jeg har været ude at vise det fem gange. Og hver gang bliver symptomet løst, men ikke det bagvedliggende problem,« siger Søren Louv-Jansen til Version2.

Version2 kunne tidligere berette, at nogen angiveligt har sat dele af CPR-registeret til salg for Bitcoins. Søren Louv-Jansen mener ikke, at synderne har brugt hans værktøj til at finde CPR-numrene. De kunne nemlig ikke på opfordring finde redaktørens CPR-nummer.

»Jeg vil tro, at det har de ikke gjort, for der er adgang til alle fem millioner numre,« siger Søren Louv-Jansen til Version2.

Du kan selv prøve CPR-lotteriet her.

Emner
26 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
26
Leif Neland
13. juni 2013 kl. 09:44

Hvis nogen nu lavede en liste over alle folketingets medlemmer og deres cpr-numre, og kastede 1000 eksemplarer ud over festpladsen på folkemødet på Bornholm i disse dage, ville der nok ske noget i denne sag. :-)

  • more_vert
    • insert_linkKopier link
25
Henrik Wahlberg
11. juni 2013 kl. 15:57

Hvor meget hænger jeg på den, hvis en ubekendt person misbruger mit CPR til f.eks et kontant lån ? Jeg har aldrig betragtet mit CPR som fortroligt, ligesom jeg aldrig har opfattet mit bankkonto nummer som fortroligt, men skal måske ændre opfattelse?

  • more_vert
    • insert_linkKopier link
11
Torben Jensen
10. juni 2013 kl. 14:03

det er da trivielt at finde politikernes fødselsdato, og så sætte lidt tilfældige tal bagefter. Eller er det verificeret at der altid er en korrekt mulighed mellem de 4 ? .. jeg kunne ikke lige se det ud fra artiklen.

Anyways, enig med målet for protesten.

  • more_vert
    • insert_linkKopier link
13
Søren Louv
10. juni 2013 kl. 14:20

  1. Nej, jeg har ikke nogen "database" med CPR-numre. Men jeg kan finde et cpr-nummer til en given person, ved at benytte teleselskabernes adgang til CPR-registeret.

  2. Ja, der er altid ét rigtigt svar til hvert spørgsmål. Flot klaret med 5 rigtige! :)

  • more_vert
    • insert_linkKopier link
15
Palle Sørensen
10. juni 2013 kl. 15:19

Kunne egentlig godt tænke mig at give forsøget en tand mere ved fx at skrive cpr-numrene på hver af disse politikers facebook-væg og spørge hvad de nu vil gøre for at vores cpr-numre fremover ikke kan bruges til bl.a. at oprette lån og lign. - Er der nogen der ved hvad straffen er, for at offentliggøre et cpr-nummer på en politiker på vedkommendes Facebook-væg?

  • more_vert
    • insert_linkKopier link
16
Brian Funk
10. juni 2013 kl. 15:53

Er det ulovligt at smide andres cpr numre på Facebook?

  • more_vert
    • insert_linkKopier link
21
Kristian Klausen
10. juni 2013 kl. 17:56

Er det ulovligt at smide andres cpr numre på Facebook?

Iflg. Version2 er det ulovligt at offentliggøre CPR-numre. (Jeg ved ikke om det er en offentliggørelse, vis du sender en "privat" besked gennem fx facebook...

Hvorfor skulle det egentlig være ulovligt? Så længe du har fremskaffet nummeret på lovligt vis, kan jeg ikke selv se hvorfor det skulle være ulovligt..

Har undersøgt lidt, og i Persondataloven står der i § 11:Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Stk. 2. Private må behandle oplysninger om personnummer, når

1) det følger af lov eller bestemmelser fastsat i henhold til lov,

2) den registrerede har givet sit udtrykkelige samtykke hertil eller

3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed.

Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må der ikke ske offentliggørelse af personnummer uden udtrykkeligt samtykke.

Synes ikke rigtig jeg kan finde andre love der er relevante, og kan ikke se hvorfor det skulle være ulovligt at offentliggøre gøre et tal? Et tal man bare har fået verificeret passer til en bestemt person.

  • more_vert
    • insert_linkKopier link
24
Søren Rønsberg
10. juni 2013 kl. 23:17

Sådan som jeg tolker det så gælder §11 kun for offentlige myndigheder (og private som er omfattet af Stk. 2). Derfor er der ingen lov der forbyder man offentliggøre et CPR-nummer, så længe det er skaffet på lovlig vis (så vidt jeg ved).

Du har selv ovenfor citeret og fremhævet §11 stk. 3 som udtrykkeligt forbyder offentliggørelse ! Men der er en enkelt chance for at det er lovligt: §2 Stk. 2. Loven finder ikke anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions artikel 10.

  • more_vert
    • insert_linkKopier link
14
Noel Vang
10. juni 2013 kl. 15:13

Du er klar over at du har leaket samtlige deltagere i din quiz's CPR numre ik? Jeg er godt klar over at man via tredjeparter(ikano.dk?) kan finde frem til dem, men her bliver de offentliggjort.

Der er kun et gyldigt (mod11) CPR-nummer per person. Det betyder at det er relativt nemt at finde det rigtige blandt mulighederne.

Kilde: http://da.wikipedia.org/wiki/CPR-nummer

Når det skal kontrolleres, om et opgivet CPR-nummer er korrekt, udføres følgende beregning: Ciffer nr: 1 2 3 4 5 6 7 8 9 10 Ganges med: 4 3 2 7 6 5 4 3 2 1 De 10 produkter lægges sammen og divideres med 11. Hvis divisionen giver resten 0 (=divisionen går op), er personnummeret korrekt. Sikkerheden i metoden er ca. 97-99%. Når den ikke er 100% skyldes det, at vægtene 2,3 og 4 genbruges i systemet, således at der ved ombytning af tal med samme vægt vil blive beregnet samme produktsum. Derfor kan en kontrolberegning i sjældne tilfælde godkende et forkert personnummer.

Denne kontrol findes der online tjenester der kan udføre for dig.

  • more_vert
    • insert_linkKopier link
17
Palle Simonsen
10. juni 2013 kl. 16:04

@Noel

Tag et CPR nummer fra f.eks. maj (05) læg 5 til måneden og kør så din beregning :)

  • more_vert
    • insert_linkKopier link
18
Noel Vang
10. juni 2013 kl. 16:20

Modulus 11 kontrollen virker 97-98% af gangene. Det værste der kan ske er at et ugyldigt cpr bliver godkendt.

Men når der kun er 4 muligheder, og kun et er mod11 korrekt. Så er det ikke svært at gætte det rigtige... :)

edit: kan se at min tidligere post kan misforståes. Der er selvfølgelig en mængde gyldige numre pr. dato.

Det er ikke det der er problemet her. Her får man 4 numre at vælge imellem. Men kun et af dem er mod11 gyldigt.

  • more_vert
    • insert_linkKopier link
19
Martin Nyhjem
10. juni 2013 kl. 16:39

Eller at et gyldigt bliver afvist. Chancen er dog kanske lille :)

"CPR-kontoret kan oplyse, at det første personnummer UDEN modulus 11 blev tildelt mandag den 1. oktober 2007. Pr. 11. januar 2011 er der i alt tildelt 18 personnumre uden modulus 11 - alle til mænd født den 1. januar 1965 eller den 1. januar 1966. CPR-kontoret skal atter engang opfordre alle brugere af personnumre om at indrette deres it-systemer således, at de også kan håndtere personnumre uden modulus kontrollen. "

  • more_vert
    • insert_linkKopier link
12
Martin Pedersen
10. juni 2013 kl. 14:07

Ja der er altid en korrekt mulighed blandt de 4, jeg får i hvert fald 5 ud af 5 rigtige hver gang :)

  • more_vert
    • insert_linkKopier link
10
Mads Buch
10. juni 2013 kl. 13:31

Så vidt jeg ved bruges CPR numre udelukkende som identifikation.

Hvis jeg tager et lån, eller hæver penge på mit CPR-nummer, bliver der bedt om en underskrift. De har altså kun brugt det givne nummer til at finde mig i deres database.

Hvis jeg bruger en andens CPR-nummer til at optage et lån, skal jeg også signere på personens vegne. Som jeg ser det, er det her problemet ligger.

Jeg læser ud af diskussionen om CPR-numre om at det skal svære at identificere sig selv. Men i virkeligheden skal det vel være svære at signere en aftale med en anden part?

  • more_vert
    • insert_linkKopier link
8
Kristian Bjørklund
10. juni 2013 kl. 12:23

Jeg mindes reglen om, at en primærnøgle må aldrig være informationsbærende. Den regel brydes i hvert fald, hvis (når) CPR nummeret bruges som primærnøgle.

Jeg husker, at et pengeinstitut før i tiden brugte CPR som primærnøgle. Det gav mildt sagt et problem, da folk begyndt at skifte CPR (hvilket man gør ved kønsskifteoperation eller hvis man opdager, at man ikke var født den dag, man troede - f.eks. adoptivbørn kan have det issue)...

CVR nummeret er jo lidt det samme bare for juridiske personer/enheder. Men det er netop ikke informationsbærende. Samme princip burde bruges for vores personnummer; jeg synes, det er en underlig sammenblanding af information, at man ikke kan opgive sit personnummer uden at fortælle sin alder.

Jeg har ofte siddet med CPR-registre og sikkerheden har tit være slående ringe. Jeg husker, at jeg en gang blev mødt med en database, som var direkte åben for sql fra Internettet - og admin-adgangen var dba / sql ... Sådan havde den stået i årevis.

  • more_vert
    • insert_linkKopier link
3
Andreas Bach Aaen
10. juni 2013 kl. 11:57

Hvad rager det alle de private foretagender incl. der hvor du er ansat, hvd din fødselsdagsdato er?

Burde man ikke lave et nyt sygesikringsnummer, der intet havde med ens fødselsdag at gøre? Numrene burde være offentlige og udskiftbare hvis de bliver misbrugt til identitetstyveri. Numrene må ikke benyttes som kodeord, men kun som brugernavn.

  • more_vert
    • insert_linkKopier link
1
Svante Jørgensen
10. juni 2013 kl. 11:29

Jeg er helt enig. Det er at stikke hovedet i sandet hvis man agerer ud fra at CPR-numre er fortrolige. Den sikkerhed der er omkring ens CPR-nummer er enten ikke eksisterende eller utrolig ringe. Som artiklen påpeger bør man bruge det som ens "brugernavn" til det offentlige og løsninger som NemLogin (i mangel af bedre) kan bruges som "adgangskode" til det offentlige. Private forretninger kan bruge hvad de har lyst til, men det må gøres klart fra politisk og lovmæssig side at der intet hemmeligt er i CPR-numre. Angivelse af CPR-nummer kan ikke sammenlignes med en underskrift.

  • more_vert
    • insert_linkKopier link
9
Bjørn smalbro
10. juni 2013 kl. 12:28

Problemet er at der er ingen der har et overblik over hvor mange instanser der rent faktisk bruger cpr nummeret fuldt ud - hvad enten de har lov eller ej. Der er masser af private firmaer der bruger det fulde cpr nummer til at alt mellem himmel og jord - som for eksempel kreditgivning og mobiltelefoni - men også fuldstændigt banale ting som videoudlejning.

Og man kan undre sig over hvorfor der ikke er en effektiv beredskabsplan der sikrer at en borger kan få blokeret for cpr nummeret øjeblikkeligt og få det skiftet ved mistanke om fusk. Et hvilket som helst internet forum giver mulighed for skift af kode hvis der er problemer med med misbrug. Og hvis Securitas mister den nøgle du har betroet dem får du besked med det samme - men hvis myndighederne fucker op og forliser den fuldstændigt centrale information du har givet dem - så kan du muligvis læse om det i medierne 3 måneder senere!

  • more_vert
    • insert_linkKopier link
4
Jesper Lund
10. juni 2013 kl. 11:58

Angivelse af CPR-nummer kan ikke sammenlignes med en underskrift.

Naturligvis kan CPR nummeret ikke sammenlignes med en underskrift. Hvem har påstået det?

Hvis finansieringsselskab XYZ giver dig 10000 kroner i hånden fordi du kan oplyse et CPR nummer, lever de livet farligt. Der vil formentlig være store tab pga. svig.

  • more_vert
    • insert_linkKopier link
2
Maciej Szeliga
10. juni 2013 kl. 11:48

Jeg er helt enig. Det er at stikke hovedet i sandet hvis man agerer ud fra at CPR-numre er fortrolige. Den sikkerhed der er omkring ens CPR-nummer er enten ikke eksisterende eller utrolig ringe.
Som artiklen påpeger bør man bruge det som ens "brugernavn" til det offentlige og løsninger som NemLogin (i mangel af bedre) kan bruges som "adgangskode" til det offentlige.
Private forretninger kan bruge hvad de har lyst til, men det må gøres klart fra politisk og lovmæssig side at der intet hemmeligt er i CPR-numre. Angivelse af CPR-nummer kan ikke sammenlignes med en underskrift.

Jeg er helt enig men så længe lovgivningen IKKE er lavet om så er vi borgere som har et seriøst problem. Det er jo VORES oplysninger som kan misbruges og lovgivningen er skruet sammen på en måde så man ikke kan gøre noget ved det. Der må handles nu inde på Christiansborg, ikke først om 3 måneder.

  • more_vert
    • insert_linkKopier link