Datalæk hos Erhvervsstyrelsen vokser: 150.000 CPR-numre spredt til 3000 brugere

Illustration: bigstock
Sikkerhedsbruddet i CVR stikker dybere end hemmelige adresser. Også 150.000 CPR-numre er blevet spredt til op mod 3.000 brugere.

150.000 CPR-numre på virksomhedsejere, bestyrelsesmedlemmer og andre personer registrerede i CVR er blevet spredt til op mod 3.000 brugere af Erhvervsstyrelsens API til CVR.

Det skriver Erhvervsstyrelsen i en pressemeddelelse, efter Version2 onsdag formiddag kunne fortælle om lækket af hemmelige adresser, der nu viser sig at stikke dybere.

Læs også: Hemmelige adresser lækket i CVR: Kan være spredt til tilfældige virksomheder

»Bruddet har medført, at op imod 3000 brugere af en digital løsning (CVR-indekset) i perioden fra 27. januar 2021 kl. 20.00 frem til 29. januar 2021 kl. 15.00 har kunnet tilgå CPR-numre på i omegnen af 150.000 personer, som er registreret i CVR-databasen,« skriver Erhvervsstyrelsen.

»Konkret har Erhvervsstyrelsen utilsigtet populeret et datafelt i den digitale løsning, som normalt er tomt. Mange af løsningens brugere vil derfor ikke have opdaget bruddet, da løsningen i vid udstrækning anvendes til at opdatere faste datafelter hos brugeren selv,« lyder det fortsat.

CPR-numrene fremgår af CVR-databasen, fordi CVR automatisk henter CPR-numre fra CPR-registret, når man som person for eksempel opretter en virksomhed.

Erhvervsstyrelsen nævnte i en mail til API-brugerne fredag, at lækket omhandlede tre felter i API'et:

»Hvis I som anvendere har cachet oplysninger i feltet "Vrvirksomhed.deltagerRelation.deltager.forretningsnoegle" bedes disse slettet øjeblikkeligt fra egne systemer. Såfremt værdien "Vrvirksomhed.deltagerRelation.deltager.adresseHemmelig" er sat til ”true”, men der er indeholdt data under feltet "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse", bedes data indeholdt i "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse" slettet øjeblikkeligt fra egne systemer.«

CPR-numre tilgængelige i halvandet døgn

Erhvervsstyrelsen opdagede bruddet fredag formiddag 29. januar, efter CPR-numre havde ligget åbent tilgængelige i CVR-databasen og det tilhørende API i over halvandet døgn. Efter opdagelsen lukkede Erhvervsstyrelsen for adgangen til CVR og API’et og fjernede de lækkede persondata.

Men eftersom virksomheder bruger API’et til automatisk at hente data fra CVR og gemme det lokalt, når der er nyt, risikerer CPR-numrene at være spredt i forskellige virksomheder.

Erhvervsstyrelsen bad derfor fredag brugere med API-adgang tjekke, om de pågældende felter indeholder persondata, som ikke skal være der. Peter Brodersen er en af dem, som har adgang til API’et. Han har udviklet findvej.dk og arbejder som udvikler hos Septima.

»Det betyder, at vi og alle andre virksomheder skal være opmærksomme. Hvis vi og alle andre med system-til-system-adgang henter al data dagligt, så kan det være, at vi nu risikerer at have data liggende i lokale databaser, som vi ikke må have liggende,« sagde Peter Brodersen til Version2 onsdag.

Datatilsynet bekræfter overfor Version2, at Erhvervsstyrelsen indberettede sikkerhedsbruddet mandag 1. februar.

»Erhvervsstyrelsen har igangsat en gennemgang af sine procedurer, hvad angår udførelsen af den manuelle proces, for dermed at sikre, at hændelsen ikke gentager sig,« skriver styrelsen i pressemeddelelsen.

Version2 arbejder på at få en kommentar fra Erhvervsstyrelsen.

Illustration: Peter Brodersen
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere