Datalæk hos Erhvervsstyrelsen vokser: 150.000 CPR-numre spredt til 3000 brugere

3 kommentarer.  Hop til debatten
Datalæk hos Erhvervsstyrelsen vokser: 150.000 CPR-numre spredt til 3000 brugere
Illustration: bigstock.
Sikkerhedsbruddet i CVR stikker dybere end hemmelige adresser. Også 150.000 CPR-numre er blevet spredt til op mod 3.000 brugere.
4. februar 2021 kl. 08:55
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

150.000 CPR-numre på virksomhedsejere, bestyrelsesmedlemmer og andre personer registrerede i CVR er blevet spredt til op mod 3.000 brugere af Erhvervsstyrelsens API til CVR.

Det skriver Erhvervsstyrelsen i en pressemeddelelse, efter Version2 onsdag formiddag kunne fortælle om lækket af hemmelige adresser, der nu viser sig at stikke dybere.

»Bruddet har medført, at op imod 3000 brugere af en digital løsning (CVR-indekset) i perioden fra 27. januar 2021 kl. 20.00 frem til 29. januar 2021 kl. 15.00 har kunnet tilgå CPR-numre på i omegnen af 150.000 personer, som er registreret i CVR-databasen,« skriver Erhvervsstyrelsen.

»Konkret har Erhvervsstyrelsen utilsigtet populeret et datafelt i den digitale løsning, som normalt er tomt. Mange af løsningens brugere vil derfor ikke have opdaget bruddet, da løsningen i vid udstrækning anvendes til at opdatere faste datafelter hos brugeren selv,« lyder det fortsat.

Artiklen fortsætter efter annoncen

CPR-numrene fremgår af CVR-databasen, fordi CVR automatisk henter CPR-numre fra CPR-registret, når man som person for eksempel opretter en virksomhed.

Erhvervsstyrelsen nævnte i en mail til API-brugerne fredag, at lækket omhandlede tre felter i API'et:

»Hvis I som anvendere har cachet oplysninger i feltet "Vrvirksomhed.deltagerRelation.deltager.forretningsnoegle" bedes disse slettet øjeblikkeligt fra egne systemer. Såfremt værdien "Vrvirksomhed.deltagerRelation.deltager.adresseHemmelig" er sat til ”true”, men der er indeholdt data under feltet "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse", bedes data indeholdt i "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse" slettet øjeblikkeligt fra egne systemer.«

CPR-numre tilgængelige i halvandet døgn

Tre mails

Erhvervsstyrelsen sendte tre mails til API'ets brugere fredag og lørdag for at orientere om fejlen og sikkerhedsbristet i CVR.

29/01/ 2021 kl. 10:30: Første mail
»Erhvervsstyrelsen oplever pt. tekniske udfordringer med system-til-system adgangen til CVR-data, der resulterer i at samtlige brugere bliver mødt af en http 401 Authorization Required fejl. Der arbejdes på højtryk for at udbedre fejlen, og i hører nærmere når det er udbedret. Tidshorisonten er pt. ukendt.«

29/01/ 2021 kl. 15:00: Anden mail
Erhvervsstyrelsens anden mail fortæller virksomheder med adgang til API'et, at der er sket en utilsigtet offentliggørelse af personoplysninger. Læs hele mailen nederst i artiklen.

30/01/ 2021 kl. 19:45: Tredje mail
»Du modtager denne mail som opfølgning på de forrige mails vedr. driftsstatus på system-til-system adgang til CVR-data. Erhvervsstyrelsen har nu løst den tidligere beskrevne hændelse, og Jeres brugeradgang er derfor blevet etableret igen.«

Kilde: Peter Brodersen.


Erhvervsstyrelsen opdagede bruddet fredag formiddag 29. januar, efter CPR-numre havde ligget åbent tilgængelige i CVR-databasen og det tilhørende API i over halvandet døgn. Efter opdagelsen lukkede Erhvervsstyrelsen for adgangen til CVR og API’et og fjernede de lækkede persondata.

Men eftersom virksomheder bruger API’et til automatisk at hente data fra CVR og gemme det lokalt, når der er nyt, risikerer CPR-numrene at være spredt i forskellige virksomheder.

Erhvervsstyrelsen bad derfor fredag brugere med API-adgang tjekke, om de pågældende felter indeholder persondata, som ikke skal være der. Peter Brodersen er en af dem, som har adgang til API’et. Han har udviklet findvej.dk og arbejder som udvikler hos Septima.

»Det betyder, at vi og alle andre virksomheder skal være opmærksomme. Hvis vi og alle andre med system-til-system-adgang henter al data dagligt, så kan det være, at vi nu risikerer at have data liggende i lokale databaser, som vi ikke må have liggende,« sagde Peter Brodersen til Version2 onsdag.

Datatilsynet bekræfter overfor Version2, at Erhvervsstyrelsen indberettede sikkerhedsbruddet mandag 1. februar.

»Erhvervsstyrelsen har igangsat en gennemgang af sine procedurer, hvad angår udførelsen af den manuelle proces, for dermed at sikre, at hændelsen ikke gentager sig,« skriver styrelsen i pressemeddelelsen.

Version2 arbejder på at få en kommentar fra Erhvervsstyrelsen.

3 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
3
8. februar 2021 kl. 18:11

Nej ikke med alle de amatører med høj magt som er har adgang til disse informationer de kan jo ikke finde ud af at bruge en computer

2
7. februar 2021 kl. 20:02

Med alle disse skandaler, der er intet mere overraskende.

1
4. februar 2021 kl. 18:33

Nej vel bare en gentagelse