Dansk hjemmeside har adgang til alle CPR-numre: Her er Thornings CPR-nummer

Illustration: leowolfert/Bigstock
Toppolitikeres CPR-numre udstilles i et lotteri på ny hjemmeside. Bagmandens hensigt er at få lavet måden, CPR-numre bruges på, om.

Det er ikke svært at få adgang til andres cpr-numre. Det viser en ny hjemmeside, hvor man kan spille CPR-lotteri med kendte politikere.

På hjemmesiden bliver man præsenteret for fem forskellige kendte folketingspolitikere, og skal så gætte deres CPR-nummer ud fra fire forskellige muligheder. Til sidst får man at vide, hvor mange rigtige man havde.

Bag hjemmesiden står it-iværksætteren Søren Louv-Jansen, der er godt træt af den måde, CPR-numre bliver brugt på i Danmark. Man kan nemlig i dag blandt andet oprette kvik-lån, mobilabonnementer og kreditkort i andres navn, blot man er bevæbnet med deres CPR-nummer. Man kan også få adgang til andres fortrolige dokumenter og bestille og afhente receptpligtig medicin.

»De kunne selvfølgelig lukke de her huller. Men det er et problem at man kan bruge CPR-numre til fx at låne penge,« siger Søren Louv-Jansen til Version2.

Søren Louv-Jansen mener ikke, det er et problem, at det er så nemt at finde CPR-numre, som det er. Problemet ligger nemlig et andet sted.

»CPR-nummeret er bare et nummer. Hvis folk skal sende dig en e-mail, sender de den til din e-mailadresse. På samme måde kan man bruge dit CPR-nummer hvis man vil sende dig noget. Men på en e-mailadresse er der en kode. Det er der ikke på dit CPR-nummer,« siger Søren Louv-Jansen til Version2.

Nej tak til lappeløsninger

Søren Louv-Jansen har lavet hjemmesiden med CPR-lotteri for at vise, hvor let tilgængelige CPR-numre egentlig er. Problemet ligger dog ikke i tilgængeligheden, men i hvor mange ting man egentlig kan når blot man har en persons CPR-nummer.

Det er især to steder, der står for lemfældig omgang med CPR-numre.

»Problemet ligger hos teleselskaberne og hos mikrobanker, hvor man kan låne penge. Blandt andet har jeg fundet oplysninger hos Ikano Bank,« siger Søren Louv-Jansen til Version2.

Disse to steder kan man identificere sig alene ved hjælp af CPR-nummer, og det gør det utrolig nemt at misbruge, så snart man har adgang til en anden persons CPR-nummer.

Søren Louv-Jansen vil dog helst ikke ud med, præcis hvor han har fundet hullerne hos teleselskaberne og mikrobankerne. I hvert fald ikke endnu.

»Hvis jeg går ud og siger det, patcher de bare hullet. Så kan de sige ’tada, hullet er lukket.’ Så går der et par måneder, og så finder jeg et nyt. Det er bare symptombehandling,« siger Søren Louv-Jansen til Version2.

Og det er ikke første gang, Søren Louv-Jansen har påpeget de mange huller i systemet.

»Jeg har været ude at vise det fem gange. Og hver gang bliver symptomet løst, men ikke det bagvedliggende problem,« siger Søren Louv-Jansen til Version2.

Version2 kunne tidligere berette, at nogen angiveligt har sat dele af CPR-registeret til salg for Bitcoins. Søren Louv-Jansen mener ikke, at synderne har brugt hans værktøj til at finde CPR-numrene. De kunne nemlig ikke på opfordring finde redaktørens CPR-nummer.

Læs også: Danske CPR-numre sat til salg på nettet

»Jeg vil tro, at det har de ikke gjort, for der er adgang til alle fem millioner numre,« siger Søren Louv-Jansen til Version2.

Du kan selv prøve CPR-lotteriet her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Svante Jørgensen

Jeg er helt enig. Det er at stikke hovedet i sandet hvis man agerer ud fra at CPR-numre er fortrolige. Den sikkerhed der er omkring ens CPR-nummer er enten ikke eksisterende eller utrolig ringe.
Som artiklen påpeger bør man bruge det som ens "brugernavn" til det offentlige og løsninger som NemLogin (i mangel af bedre) kan bruges som "adgangskode" til det offentlige.
Private forretninger kan bruge hvad de har lyst til, men det må gøres klart fra politisk og lovmæssig side at der intet hemmeligt er i CPR-numre. Angivelse af CPR-nummer kan ikke sammenlignes med en underskrift.

  • 26
  • 0
Maciej Szeliga
  • 13
  • 0
Andreas Bach Aaen

Hvad rager det alle de private foretagender incl. der hvor du er ansat, hvd din fødselsdagsdato er?

Burde man ikke lave et nyt sygesikringsnummer, der intet havde med ens fødselsdag at gøre?
Numrene burde være offentlige og udskiftbare hvis de bliver misbrugt til identitetstyveri.
Numrene må ikke benyttes som kodeord, men kun som brugernavn.

  • 22
  • 0
Kristian Bjørklund

Jeg mindes reglen om, at en primærnøgle må aldrig være informationsbærende.
Den regel brydes i hvert fald, hvis (når) CPR nummeret bruges som primærnøgle.

Jeg husker, at et pengeinstitut før i tiden brugte CPR som primærnøgle. Det gav mildt sagt et problem, da folk begyndt at skifte CPR (hvilket man gør ved kønsskifteoperation eller hvis man opdager, at man ikke var født den dag, man troede - f.eks. adoptivbørn kan have det issue)...

CVR nummeret er jo lidt det samme bare for juridiske personer/enheder. Men det er netop ikke informationsbærende. Samme princip burde bruges for vores personnummer; jeg synes, det er en underlig sammenblanding af information, at man ikke kan opgive sit personnummer uden at fortælle sin alder.

Jeg har ofte siddet med CPR-registre og sikkerheden har tit være slående ringe.
Jeg husker, at jeg en gang blev mødt med en database, som var direkte åben for sql fra Internettet - og admin-adgangen var dba / sql ...
Sådan havde den stået i årevis.

  • 7
  • 0
Bjørn smalbro

Problemet er at der er ingen der har et overblik over hvor mange instanser der rent faktisk bruger cpr nummeret fuldt ud - hvad enten de har lov eller ej. Der er masser af private firmaer der bruger det fulde cpr nummer til at alt mellem himmel og jord - som for eksempel kreditgivning og mobiltelefoni - men også fuldstændigt banale ting som videoudlejning.

Og man kan undre sig over hvorfor der ikke er en effektiv beredskabsplan der sikrer at en borger kan få blokeret for cpr nummeret øjeblikkeligt og få det skiftet ved mistanke om fusk. Et hvilket som helst internet forum giver mulighed for skift af kode hvis der er problemer med med misbrug. Og hvis Securitas mister den nøgle du har betroet dem får du besked med det samme - men hvis myndighederne fucker op og forliser den fuldstændigt centrale information du har givet dem - så kan du muligvis læse om det i medierne 3 måneder senere!

  • 4
  • 0
Mads Buch

Så vidt jeg ved bruges CPR numre udelukkende som identifikation.

Hvis jeg tager et lån, eller hæver penge på mit CPR-nummer, bliver der bedt om en underskrift. De har altså kun brugt det givne nummer til at finde mig i deres database.

Hvis jeg bruger en andens CPR-nummer til at optage et lån, skal jeg også signere på personens vegne. Som jeg ser det, er det her problemet ligger.

Jeg læser ud af diskussionen om CPR-numre om at det skal svære at identificere sig selv. Men i virkeligheden skal det vel være svære at signere en aftale med en anden part?

  • 1
  • 3
Noel Vang

Du er klar over at du har leaket samtlige deltagere i din quiz's CPR numre ik? Jeg er godt klar over at man via tredjeparter(ikano.dk?) kan finde frem til dem, men her bliver de offentliggjort.

Der er kun et gyldigt (mod11) CPR-nummer per person. Det betyder at det er relativt nemt at finde det rigtige blandt mulighederne.

Kilde: http://da.wikipedia.org/wiki/CPR-nummer

Når det skal kontrolleres, om et opgivet CPR-nummer er korrekt, udføres følgende beregning:
Ciffer nr: 1 2 3 4 5 6 7 8 9 10
Ganges med: 4 3 2 7 6 5 4 3 2 1
De 10 produkter lægges sammen og divideres med 11. Hvis divisionen giver resten 0 (=divisionen går op), er personnummeret korrekt.
Sikkerheden i metoden er ca. 97-99%. Når den ikke er 100% skyldes det, at vægtene 2,3 og 4 genbruges i systemet, således at der ved ombytning af tal med samme vægt vil blive beregnet samme produktsum. Derfor kan en kontrolberegning i sjældne tilfælde godkende et forkert personnummer.

Denne kontrol findes der online tjenester der kan udføre for dig.

  • 1
  • 3
Palle Sørensen

Kunne egentlig godt tænke mig at give forsøget en tand mere ved fx at skrive cpr-numrene på hver af disse politikers facebook-væg og spørge hvad de nu vil gøre for at vores cpr-numre fremover ikke kan bruges til bl.a. at oprette lån og lign. - Er der nogen der ved hvad straffen er, for at offentliggøre et cpr-nummer på en politiker på vedkommendes Facebook-væg?

  • 3
  • 0
Noel Vang

Modulus 11 kontrollen virker 97-98% af gangene. Det værste der kan ske er at et ugyldigt cpr bliver godkendt.

Men når der kun er 4 muligheder, og kun et er mod11 korrekt. Så er det ikke svært at gætte det rigtige... :)

edit: kan se at min tidligere post kan misforståes. Der er selvfølgelig en mængde gyldige numre pr. dato.

Det er ikke det der er problemet her. Her får man 4 numre at vælge imellem. Men kun et af dem er mod11 gyldigt.

  • 1
  • 0
martin nyhjem

Eller at et gyldigt bliver afvist. Chancen er dog kanske lille :)

"CPR-kontoret kan oplyse, at det første personnummer UDEN modulus 11 blev tildelt mandag den 1. oktober 2007. Pr. 11. januar 2011 er der i alt tildelt 18 personnumre uden modulus 11 - alle til mænd født den 1. januar 1965 eller den 1. januar 1966.
CPR-kontoret skal atter engang opfordre alle brugere af personnumre om at indrette deres it-systemer således, at de også kan håndtere personnumre uden modulus kontrollen. "

  • 0
  • 0
Kristian Klausen

Er det ulovligt at smide andres cpr numre på Facebook?


Iflg. Version2 er det ulovligt at offentliggøre CPR-numre. (Jeg ved ikke om det er en offentliggørelse, vis du sender en "privat" besked gennem fx facebook...


Hvorfor skulle det egentlig være ulovligt? Så længe du har fremskaffet nummeret på lovligt vis, kan jeg ikke selv se hvorfor det skulle være ulovligt..

Har undersøgt lidt, og i Persondataloven står der i § 11:
Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Stk. 2. Private må behandle oplysninger om personnummer, når

1) det følger af lov eller bestemmelser fastsat i henhold til lov,

2) den registrerede har givet sit udtrykkelige samtykke hertil eller

3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed.

Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må der ikke ske offentliggørelse af personnummer uden udtrykkeligt samtykke.

Synes ikke rigtig jeg kan finde andre love der er relevante, og kan ikke se hvorfor det skulle være ulovligt at offentliggøre gøre et tal? Et tal man bare har fået verificeret passer til en bestemt person.

  • 0
  • 0
Søren Rønsberg

Sådan som jeg tolker det så gælder §11 kun for offentlige myndigheder (og private som er omfattet af Stk. 2). Derfor er der ingen lov der forbyder man offentliggøre et CPR-nummer, så længe det er skaffet på lovlig vis (så vidt jeg ved).


Du har selv ovenfor citeret og fremhævet §11 stk. 3 som udtrykkeligt forbyder offentliggørelse !
Men der er en enkelt chance for at det er lovligt:
§2 Stk. 2. Loven finder ikke anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions artikel 10.

  • 0
  • 0
Log ind eller Opret konto for at kommentere