Dansk tingbogs-database med hemmelige adresser frit tilgængelig fra server i USA

Opdateret: Tingbogen er blevet kopieret over på en amerikansk server, hvor den ligger offentligt tilgængelig. Personer med hemmelig adresse kan findes ved blot at søge på navnet.

Det er lykkedes for ukendte bagmænd at kopiere databasen Tingbogen under Domstolsstyrelsen over samtlige navne, adresser og lån for ejer- og andelsboliger.

Det oplyste Radio 24Syv i morges, tirsdag.

Selvom oplysningerne i forvejen har været offentlige, er det nu blevet meget let at søge i databasen. Det betyder, at personer med hemmelige adresser kan findes, ved at man blot søger på deres navn. Derved kan man få adgang til oplysninger omkring adresse, boliglån og eventuelle medejere af boligen.

Radio 24Syv forsøgte det blandt andet med en række danske politikere, der ellers havde fået adressebeskyttelse, men som nu kunne findes blot ved at søge på deres navn.

Hidtil har det ikke været muligt at søge på navne i tingbogs-registeret. Man skal normalt søge på den specifikke adresse, hvilket gør det mere vanskeligt at finde frem til en bestemt person.

Der er ifølge Radio 24Syv anslået omkring 30.000 personer i Danmark med hemmelig adresse, som nu er blevet kompromitteret. Rettelse: Det er med al sandsynlighed kun få personer med adressebeskyttelse, der har fået offentliggjort deres oplysninger - se opdatering.

»Det bekymrende er, at man kan søge på kryds og tværs og søge på navn alene,« siger chef for DK-Cert Henrik Larsen til Radio 24Syv.

Suspekt registrant

Radio 24Syv har valgt ikke at offentliggøre URL'en på kopien af databasen af hensyn til de berørte personer.

Det er endnu ukendt, hvem der står bag gerningen. Kopien er dog tilsyneladende lagt på en amerikansk server, hvilket er problematisk, da der er tale om danske offentlige data, som er blevet kopieret uden for Europa. Både domænecentralen og navneserveren, der er blevet brugt, går igennem USA.

Domæneregistranten, som er blevet brugt af bagmændene, er desuden af en særlig type, som er placeret i Bahamas, og som har til formål at skjule, hvem der registrerer domænet.

»Det ser umiddelbart ud til, at det er en dansk offentlig database, der er ført uden for EU og helt sikkert uden, at der foreligger en databehandleraftale, som persondataloven forudsætter,« siger Henrik Larsen og fortsætter:

»Det er bekymrende, at det er ført til USA og lavet af nogen, som gemmer sig bag en registrant, som har til formål at skjule, hvem der står bag.«

Hvordan det er lykkedes at kopiere databasen, er endnu usikkert, men Henrik Larsen fra DK-Cert finder det dog usandsynligt, at den er lavet ved at søge på samtlige ejendomme som en slags scraper.

»Det ser ud til, at man har stjålet databasen på en måde, som det vil tage et godt stykke tid at finde ud af, hvordan man har gjort,« siger han til 24Syv.

Den digitale tinglysning har tidligere været i vælten tilbage i 2014 for en række sikkerhedshuller, der gjorde det muligt at finde frem til personers CPR-numre. Det udnyttede en række aktivister til at afsløre Helle Thorning-Schmidts CPR-nummer.

Læs også: Aktivister havde tre muligheder for at validere cpr-numre via Tinglysningen

Opdateret den 26. januar kl. 15.40 med korrektion i forholdet til mængden af kompromitterede adresseoplysninger

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (59)

Anne-Marie Krogsbøll

Igen opdager man tilsyneladende først fejlen, når andre opdager, at der er noget galt. Og man mener oven i købet at det vil tage tid at finde ud af, hvordan det er foregået.

Ikke særligt betryggende mht. den offentlige datasikkerhed - slet ikke set i lyset af den tiltagende totalovervåning.

Gad vide, hvad der har fået Radio24syv er kommet på at tjekke dette?

Anders Christensen

Jeg har hemmelig adresse (med alt det bøvl det giver med at være kunde en lang række steder) - Og i det lækkede register optræder jeg som:
"Ejere: Person med navne og adressebeskyttelse, andel: 1/1"

Hæftelserne på min ejendom passer og webinterfacet ligner delvist det fra tinglysning.dk, blot uden lidt css tror jeg, uden at have gravet i kildekoden dog..

Christian Nobel

Hvis man har prøvet at søge oplysninger på tingbogen, så ville man vide at selv et enkelt opslag tager en krig, så hvis det var en scraper der skulle varetage opgaven, så ville det nok tage et par hundrede år.

Så det tyder mere på at CSC endnu engang ikke er i stand til at passe på data om danskerne.

Er det så også dem der skal opbevare de 600.000 ANPG hits per dag - det skal vi nok blive glade for i længden.

Bjarke Jørgensen

hvis det var danske mænd, der er særdeles pissed off på statens manglende forståelse af vigtigheden af bl.a. IT-sikkerhed for offentlige systemer, og nu demonstrerer det.

Et teknisk spørgsmål: ville det ikke være muligt at lave samme database, hvis man spurgte på samtlige adresser i Danmark en ad gangen og lavede en liste?

P.s. Nu ved vi endelig hvor Inger Støjberg bor.

Anne-Marie Krogsbøll

Ikke kun set ud fra et datasikkerhedsperspektiv - men hvilke interesser kan der ligge bag at bruge energi på at offentliggøre dette register (jeg mangler lidt fantasi her)? Hvad kan det bruges til?

De ikke-hemmelige oplysninger er jo ikke værd at bruge tid på at lægge ud. CPR-numre er vel primært en økonomisk/identitetsmæssig risiko (slemt, meget slemt) - men de hemmelige adresser - der er der jo ofte en god grund til, at folk har den slags. F.eks. partnervold. Hvordan vil man nu beskytte disse personer?

Eller har det i forvejen været let at få fat i disse ad omveje?

Finn Aarup Nielsen

Egentlig er det jo et ganske fint website med hurtig respons og fin layout. Der synes at være et UTF-8/I18N-indekseringsproblem da jeg ikke rammer mig selv med "Årup", men kan ellers finde mig selv.

Så hvis man ser bort fra forholdet omkring privatliv og sikkerhed er det vel et udmærket interface, - der "bringer offentlige data i spil" som det hedder. Det er muligt at blive fjernet med "Anmodning rekord fjernelse", men der burde være mere proaktiv sikkerhed hvis det er at man kan finde hemmelige addresser.

Endelig kan man spørge om det skal være så nemt at søge. Gør online telefonbøger gør det også (for?) nemt at søge efter folk?

Kristian Rastrup

Nogen, der er kvikke nok til at finde hvor gamle data er?
De kan ikke være nyere end tidspunktet for hvornår de er blevet hentet.
Hvis data er nyere end CSC hacket kan det udelukkes som kilde.

Hans Peter Nielsen

Der ligger data fra marts sidste år. Så det er i hvert fald ikke dét hack.

Jeg tænker, at det nok er scrapet.
Hvis det er scrapet eller hvis det kunne scrapes, så ligger ansvaret jo hos Tinglysningsretten. Det er dem, der skal anklages for lemfældig omgang med personlige oplysninger.

Anders Christensen

Jeg kunne godt foranledes til at tro at de er nyere... - Tidligere lå der fulde navne og fødselsdato'er på ejerne hos tinglysning.dk, det gør der ikke længere, nu kun navne, og for sådan nogle som mig, blot info om at der er navnebeskyttelse.

Spørgsmålet er så hvornår det blev fjernet, efter tinglysning.dk blev brugt til at "gætte personnumre" med tidligere.

Kasper Bræmer-Jensen

Hvad er det lige der gør det her "læk" bekymrende? Der er vel bare tale om at nogle har scrapet noget man allerede har kunne søge i på tinglysning.dk, og gjort det mere søgbart end det tidligere har været.

Med tålmodighed og tinglysning.dk ville man kunne have gjort præcist det samme igennem en browser, også uden at logge på noget med NemID mv. (som jeg hørte nogle tale om i Radio 24Syv, var en nødvendighed).

Er det store problem her i virkeligheden ikke, at det er lykkedes nogle at indeksere/scrapet det her data og hoste det på en server hos Hetzner (til hvad jeg antager, er en meget lav pris).. Og på samme tid gøre søgefunktionen ca. 10x hurtigere (og både bedre og bredere) end den er på den CSC-hostede database som ligger tilgængelig på tinglysning.dk, til en pris man må antage er tusinde, hvis ikke hundrede tusinde, gange højere for at hoste samme data.

dybt suk

Anders Christensen

Data er nyere end 27.04.2015 hvor en af mine naboer købte sit hus, og deres tinglyste lån er ihvertfald registreret korrekt...

Men der er umiddelbart ikke noget der tyder på at der er hemmelige persondata i de ting jeg har set på den nye side...

Johnnie Hougaard Nielsen

Jeg checkede lige hvordan jeg selv står, og data ser lidt skævt ud. Kontant køb med overtagelse 1. november, men den aflyste hæftelse på et nødlidende lån fra dødsboet står som om jeg skylder penge til en kreditforening. Måske er det blot udtryk for hvornår en kopi er neglet, hvordan det så end er sket, men det ser sjovt ud med ajour navn, uden at resten er på samme opdateringsniveau.

Martin Kiefer

Ja, så er det nu jeg er glad for, at tinglysningen har lavet så meget ged i vores tinglysning på huset, at den slet ikke fremgår af tingbogen. Når det offentlige kludrer rundt i tingene er det åbenbart ikke ubetinget noget dårligt der sker :-)

en søgning på Markvænget i Hinnerup giver ingen hits overhovedet, så vores naboer eksisterer heller ikke...

/Martin

Peter Makholm Blogger

Nogen, der er kvikke nok til at finde hvor gamle data er?

På siden der er refereret til tidligere kan jeg finde dokumenter der er tinglyst for under 6 måneder siden.

Selv hælder jeg til at der bare er tale om scrabede oplysninger og altså ikke en sikkerhedshændelse som sådan. Data er måske brugt og præsenteret på en utiltænkt måde, men det er hele pointen med offentlige grunddata.

Kenneth Jakobsen

via deres REST API kan jeg lave en søgning på ~430ms og hente den data ud fra søgningen med en ny request på ~600ms, så tager ikke mere end ~1sec at slå en adresse op og downloade alt informationen dertil..

ikke at jeg ville gide at løbe alle adresser igennem, men det er muligt, især hvis man slår mere end en op ad gangen med en multithreaded scraper..

Christian Nobel

Selv hælder jeg til at der bare er tale om scrabede oplysninger og altså ikke en sikkerhedshændelse som sådan

Hvis der vitterlig skulle være tale om scrabede data (hvilket jeg betvivler, da CSC's version af tingbogen er dræbende langsom om at lave opslag), så har CSC da alligevel et kæmpe sikkerhedsproblem, al den stund navnebeskyttede oplysninger er kommet ud i det fri.

Det er om noget da en sikkerhedshændelse!

Anders Christensen

Serveren er ihvertfald ikke amerikansk og stikprøvekontroller udført af flere fra debatten her viser ihvertfald ikke at der er hemmelige data i spil...
Søger man på Inger Støjbergs adresse på tinglysning.dk dukker hendes navn også op.. Så hun har f.eks. ikke hemmelig adresse i cpr så vidt jeg kan se.

Så overskriften er måske ikke helt retvisende. En titel i retning af: "Uofficiel tinglysningsdatabase gør overblikket over danske boliger og deres ejere mere overskueligt" kunne ihvertfald være mindst lige så god.

Men indrømmet, data er da sat noget mere praktisk og søgbart op i den uofficielle tingbogsdatabase..

Hvordan er det forøvrigt med ophavsret til sådanne data? Er det i det hele taget ulovligt at kopiere dem?

I afkræftende fald, så er sagen her jo en storm i et glas vand.

Anders Christensen

Hvis der vitterlig skulle være tale om scrabede data (hvilket jeg betvivler, da CSC's version af tingbogen er dræbende langsom om at lave opslag), så har CSC da alligevel et kæmpe sikkerhedsproblem, al den stund navnebeskyttede oplysninger er kommet ud i det fri.

Det er om noget da en sikkerhedshændelse!

Helt enig hvis det er tilfældet - Men det ligner mere er en "navnebeskyttelse" i retning af "Jeg er hemmelig så længe man ikke kan søge på mit navn, men kun på min adresse" - og der er jo lidt en forskel fra det også til at være hemmelig i cpr.

Hvis det var den del der var trukket med ud, ville jeg forvente at have set mit navn sammenkædet med min adresse, da jeg har hemmelig adresse i cpr.

Anders Christensen

via deres REST API kan jeg lave en søgning på ~430ms og hente den data ud fra søgningen med en ny request på ~600ms, så tager ikke mere end ~1sec at slå en adresse op og downloade alt informationen dertil..

ikke at jeg ville gide at løbe alle adresser igennem, men det er muligt, især hvis man slår mere end en op ad gangen med en multithreaded scraper..

Så med ca. 2 mio ejendomme i Danmark (et gæt..) vil det tage ca. 23 dage at scrape alting igennem hvis du snupper et datasæt i sekundet... eller få timer hvis man kører tråde nok.

Version2 kunne jo passende spørge tinglysning.dk om de har haft ekstraordinært travlt på deres API i en periode fra ca. juni 2015 og frem.

Povl H. Pedersen

Jeg kan se, at vores genbo er registret med en halvpart til konen, og en halvpart til "person med navne og adressebeskyttelse". Så der er ikke nogen hemmelige informationer i disse data.

Min vurdering er, at der er sket scraping, og re-indeksering på flere felter. Så den eneste ulovlighed her er vel ophavsretten, da databaser er ophavsretsbeskyttede. Så Tinglysningskontoret har nok sendt en DCMA takedown notice, så den er væk i morgen. Eller også er de i gang med at finde ud af hvem der skal have aben med at sende aben videre til en der har aben med at overgive den til FBI.

Men der er nok ikke nogen hos Computer Security Chaos (CSC) der er i gang med at se i logfiler, for at finde hvilke IP adresser der har hentet databasen.

Der er nok heller ikke nogen der kigger på hvordan staten kan sikre, at ingen IP adresse laver mere end x-tusinde opslag pr dag, eller laver andet throttling der gør det vanskeligt at scrape statens databaser. Her bør staten få lavet noget generelt der kan bruges flere steder. Og man skal ikke kunne omgå det med google translate som proxy server.

Bjarke Jørgensen

Som det efterhånden fremgår af flere kommentarer er der ikke tale om 'hemmelige oplysninger'. Jeg vil i den forbindelse linke til en tidligere nyhed her på version2.dk:

http://www.version2.dk/artikel/kundedata-offentligt-tilgaengelige-hos-ud...

Her er det samme problemstilling, data var blot filtreret så det kun var kunder med et bestemt bank-forhold der blev vist.

Fantasi: Faktisk kan man, med al data der findes på tinglysning.dk, forestille sig ret avancerede visualiseringer af danskernes privat-økonomi. Det er ikke umuligt at forestille sig bank-folk ville have interesse i sådanne visualiseringer, til fremtidig markedsføring. Jeg tror pointen er at selvom det ikke er 'hemmelige' data der er 'lækket', er der stadig gode muligheder (med lidt fantasi) for at kortlægge adskillige interesseområder, nationalt, og det kan jeg godt synes er bekymrende.

Lars Jensen

Efterspil hvis der havde været hemmelige data ville være hvem af "os" der havde søgt på hemmelig data med terror for øje. Inden for 12-16 mdr. bliver vi sikkert anholdt og lagt i benlås af PET, vores pas inddraget, PC ransaget og frataget retten til samkvem med børn ... eller noget :-)

Dennis Christiansen

... er ikke i denne udgave af databasen. Jeg mener det er under 2 år siden hun fik tildelt hemmelig adresse, hvorved databasen nødvendigvis er ældre end det.

Nej så må databasen jo netop være nyere end det.

Som flere allerede har påpeget, ser det ud til at databasen er nyere end juni 2015.
Dette kan jeg også bekræfte idet at jeg har en bekendt der døde omkring starten af juni sidste år, og hans oplysninger er registreret som "Boet efter Henrik René Berg".

Daniel H. Friis

Tja når man søger på registrant af tidspunktet så jf
http://hallofdomains.co/en/datas/tingbogenstatistik.org
så har den været aktiv siden 29.dec 2015

men jeg må da sige at den er bruger venlig man skulle næsten spørge om man ikke kunne få lov til at bruge deres layout / DB

jeg må da indrømme at jeg har de første par skumle tanker hvad man kan bruge den slags viden til og det er meget nemt at sortere med dette værktøj

Lars Jensen

Problemet er at 30.000 danskere der har hemmelig adresse eller skjult navn nu ikke har det mere

Jeg har lige slået mit sommerhus op. Den adresse der er der, er sommerhusets, ikke min folkeregisteradresse. Jeg går ud fra at det er folkeregisteradressen der er hemmelig, hvis man har hemmelig adresse.

En anden mulighed er et læk et andet sted i systemet, end tinglysningsrettens system. Uden at sige at det er herfra, så tilbyder Lifa omfattende systemer til ejendomsdata.

Hilsen Lars

Finn Aarup Nielsen

Mja fakta kan jo ikke beskyttet kun måden hvorpå du præsenteret dataen

Der kan være sui generis databaseret på Tinglysningsdata. Der kan også muligvis ikke være.

EU-domstolen har haft nogle sager: "The British Horseracing Board Ltd m.fl. mod William Hill Organization Ltd." http://curia.europa.eu/juris/liste.jsf?num=C-203/02 og Fixtures Marketing Ltd. mod O.Y. Veikhaus AB.

I de sager bliver diskuteret blandt andet "frembringelse" og "indsamling" af data. Om det de laver i Hobro er frembringelse eller indsamling ved jeg ikke, men det er nok ikke helt forkert at mene at Tinglysningen ikke nødvendigvis har databaseret

Thomas Hedberg

Data er indsamlet ulovligt og vedligeholddes ikke. Den strider imod flere punkter i persondata lovgivningen, så der er ingen tvivl om at databasen er ulovlig.

Christian Panton

jeg fandt:

chicago-parking-tickets.org
ny-traffic-tickets.org
georgia-unclaimed.org
connecticut-unclaimed.org
virginia-unclaimed.org
illinois-unclaimed.org
ny-unclaimed.org
michigan-lost-funds.org
harris-county-court-records.org

Christian Nobel

Det fremstår stadig ikke helt klart om hvorvidt det er selve databasen der er blevet hentet direkte, eller om der bare er tale om resultatet af en crawling.

Men en ting er lysende klart, nemlig at produktet fremstår væsentligt mere brugervenligt, med meget bedre søgemuligheder og meget, meget hurtigere end det CSC har klampet sammen.

Men det har vel sikkert også kun kostet en tusindedel at lave, og fordrer nok ikke en mainframe.

Flemming Jønsson

https://www.reddit.com/r/Denmark/comments/42w67s/i_am_the_person_who_mad...

Forkortet udgave:
- Hentede alle adresser i Danmark fra ejendomsregistret
- Lavede ét kald per ejendomsadresse hen over flere måneder til Tinglysning.dk med hver enkelt adresses UUID.
- Samlede info på et søgbart site.

Så hvis det passer, og der er personer i udtrækket med hemmelige adresser må det være CSC der har lavet en fejl så nogen personer ikke har stået med korrekt hemmeligholdte navne.

Christian Nobel

Så hvis det passer, og der er personer i udtrækket med hemmelige adresser må det være CSC der har lavet en fejl så nogen personer ikke har stået med korrekt hemmeligholdte navne.

Og så sætter det endnu mere CSC's inkompetence i et strålende lys, for vi-dræner-alt-hvad-vi-kan CSC's løsning, som jo givetvis har kostet en formue, virker langsomt og kluntet i sammenligning med hvad en mand kan lave som hobbyprojekt.

Hvor kunne dette land dog spare mange penge (og så ville der måske være råd til velfærden) hvis man ikke blev ved med at smide penge efter grådige amatører - det kan godt være at Danmark hævdes at være verden mindst korrupte land, men det må da være fordi man åbenbart ikke regner nepotisme ind under.

Jørgen L. Sørensen

Og så sætter det endnu mere CSC's inkompetence i et strålende lys,

Jeg er mange gange enige med dig - men her synes jeg at du måske retter smed for bager....

Hvis data er høstet inden adressebeskyttelse, er adresserne tilgængelige, og det kan CSC eller tinglysning vel ikke bebrejdes.

Jeg skrev noget lignende i en anden debat (http://www.version2.dk/comment/324808#comment-324808)

Christian Nobel

Hvis data er høstet inden adressebeskyttelse, er adresserne tilgængelige, og det kan CSC eller tinglysning vel ikke bebrejdes.

Nu gik mit rant nu heller ikke så meget på hvornår data var høstet, og selvfølgelig kan CSC ikke klandres for det - det gik mere på at en privatperson for meget små midler kan lave en løsning som er mangefold bedre end den elefanten på lerfødder kan klytte sammen.

Og det er måske en meget interessant debat at få i gang over for beslutningstagerne, nemlig her har vi et eksempel på en løsning som er lavet for en brøkdel af prisen, hvordan kan I så, gang på gang, blive ved med at retfærdiggøre brugen af så mange midler på så dårlige resultater?

Johnnie Hougaard Nielsen

det gik mere på at en privatperson for meget små midler kan lave en løsning som er mangefold bedre end den elefanten på lerfødder kan klytte sammen.

Når ret skal være ret, er forespørgselsdelen kun en ganske lille del af hvad tinglysning.dk består af. Og jeg vil mene at det har været et helt bevidst designvalg ikke at lave fri søgning på navn m.v.

Det kan ikke have været en målsætning at fodre den simple nysgerrighed, og behovet for at finde tingbogsoplysninger uden allerede at kende adressen må være ret smalt.

Christian Nobel

Når ret skal være ret, er forespørgselsdelen kun en ganske lille del af hvad tinglysning.dk består af. Og jeg vil mene at det har været et helt bevidst designvalg ikke at lave fri søgning på navn m.v.

Derfor er det da stadig noget eklatant lort (undskyld mit franske).

Prøv f.eks. at søge en etageejendom med 10-20 lejligheder - det tager over et minut!

Søgte man det tilsvarende på hans side kom resultatet med det samme - bang!

Hvis det ikke er udtryk for CSC's mainframeskrammel så ved jeg ikke hvad er.

Log ind eller opret en konto for at skrive kommentarer