150.000 CPR-numre på virksomhedsejere, bestyrelsesmedlemmer og andre personer registrerede i CVR er blevet spredt til op mod 3.000 brugere af Erhvervsstyrelsens API til CVR.
Det skriver Erhvervsstyrelsen i en pressemeddelelse, efter Version2 onsdag formiddag kunne fortælle om lækket af hemmelige adresser, der nu viser sig at stikke dybere.
»Bruddet har medført, at op imod 3000 brugere af en digital løsning (CVR-indekset) i perioden fra 27. januar 2021 kl. 20.00 frem til 29. januar 2021 kl. 15.00 har kunnet tilgå CPR-numre på i omegnen af 150.000 personer, som er registreret i CVR-databasen,« skriver Erhvervsstyrelsen.
»Konkret har Erhvervsstyrelsen utilsigtet populeret et datafelt i den digitale løsning, som normalt er tomt. Mange af løsningens brugere vil derfor ikke have opdaget bruddet, da løsningen i vid udstrækning anvendes til at opdatere faste datafelter hos brugeren selv,« lyder det fortsat.
CPR-numrene fremgår af CVR-databasen, fordi CVR automatisk henter CPR-numre fra CPR-registret, når man som person for eksempel opretter en virksomhed.
Erhvervsstyrelsen nævnte i en mail til API-brugerne fredag, at lækket omhandlede tre felter i API'et:
»Hvis I som anvendere har cachet oplysninger i feltet "Vrvirksomhed.deltagerRelation.deltager.forretningsnoegle" bedes disse slettet øjeblikkeligt fra egne systemer. Såfremt værdien "Vrvirksomhed.deltagerRelation.deltager.adresseHemmelig" er sat til ”true”, men der er indeholdt data under feltet "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse", bedes data indeholdt i "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse" slettet øjeblikkeligt fra egne systemer.«
CPR-numre tilgængelige i halvandet døgn
Erhvervsstyrelsen sendte tre mails til API'ets brugere fredag og lørdag for at orientere om fejlen og sikkerhedsbristet i CVR. 29/01/ 2021 kl. 10:30: Første mail 29/01/ 2021 kl. 15:00: Anden mail 30/01/ 2021 kl. 19:45: Tredje mail Kilde: Peter Brodersen.Tre mails
»Erhvervsstyrelsen oplever pt. tekniske udfordringer med system-til-system adgangen til CVR-data, der resulterer i at samtlige brugere bliver mødt af en http 401 Authorization Required fejl. Der arbejdes på højtryk for at udbedre fejlen, og i hører nærmere når det er udbedret. Tidshorisonten er pt. ukendt.«
Erhvervsstyrelsens anden mail fortæller virksomheder med adgang til API'et, at der er sket en utilsigtet offentliggørelse af personoplysninger. Læs hele mailen nederst i artiklen.
»Du modtager denne mail som opfølgning på de forrige mails vedr. driftsstatus på system-til-system adgang til CVR-data. Erhvervsstyrelsen har nu løst den tidligere beskrevne hændelse, og Jeres brugeradgang er derfor blevet etableret igen.«
Erhvervsstyrelsen opdagede bruddet fredag formiddag 29. januar, efter CPR-numre havde ligget åbent tilgængelige i CVR-databasen og det tilhørende API i over halvandet døgn. Efter opdagelsen lukkede Erhvervsstyrelsen for adgangen til CVR og API’et og fjernede de lækkede persondata.
Men eftersom virksomheder bruger API’et til automatisk at hente data fra CVR og gemme det lokalt, når der er nyt, risikerer CPR-numrene at være spredt i forskellige virksomheder.
Erhvervsstyrelsen bad derfor fredag brugere med API-adgang tjekke, om de pågældende felter indeholder persondata, som ikke skal være der. Peter Brodersen er en af dem, som har adgang til API’et. Han har udviklet findvej.dk og arbejder som udvikler hos Septima.
»Det betyder, at vi og alle andre virksomheder skal være opmærksomme. Hvis vi og alle andre med system-til-system-adgang henter al data dagligt, så kan det være, at vi nu risikerer at have data liggende i lokale databaser, som vi ikke må have liggende,« sagde Peter Brodersen til Version2 onsdag.
Datatilsynet bekræfter overfor Version2, at Erhvervsstyrelsen indberettede sikkerhedsbruddet mandag 1. februar.
»Erhvervsstyrelsen har igangsat en gennemgang af sine procedurer, hvad angår udførelsen af den manuelle proces, for dermed at sikre, at hændelsen ikke gentager sig,« skriver styrelsen i pressemeddelelsen.
Version2 arbejder på at få en kommentar fra Erhvervsstyrelsen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
