Digital tinglysning lukker for CPR-smuthul

16. juni 2014 kl. 16:5216
En opdatering skal lukke for muligheden for at misbruge den digitale tingbog til at finde frem til danskernes CPR-numre.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er den digitale tinglysning, der har været anvendt til at lække CPR-numre på blandt andet statsminister Helle Thorning-Schmidt. Det vil Tinglysningsretten nu sætte en stopper for med en opdatering, skriver DR.

Kender man fødselsdato og køn, er der forholdsvis få kombinationer, som er gyldige kandidater til at være personens CPR-nummer. Går man ind på digital tinglysning har man mulighed for at slå kombinationerne op. Hvis man rammer den rigtige, kan man få adresseoplysningerne fra CPR-registret.

Tinglysningsretten har mandag eftermiddag lukket ned for at kunne bruge systemet på denne måde.

»Det er dybt beklageligt,« siger retspræsident Søren Sørup Hansen fra Tinglysningsretten til DR.

Artiklen fortsætter efter annoncen

Version2 har bekræftet, at det var muligt at misbruge tinglysningssystemet til at finde frem til det korrekte CPR-nummer og de tilhørende oplysninger. Tinglysningsretten oplyser på hjemmesiden, at systemet ventes tilbage i drift efter klokken 17.30.

16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
15
17. juni 2014 kl. 14:09

Er der andre offentlige services, der indeholder samme sikkerhedshul?

NemID lader til at have en mildere version af hullet: Hvis man søger på et eksisterende CPR, der har deaktiveret CPR-login i NemID, giver det en anden fejlmeddelelse, end hvis man søger efter et ikke-eksisterende CPR, så man får med andre ord automatisk at vide, at man har ramt plet. Deaktivering af CPR-login er vel tænkt som en ekstra sikkerhedsforanstaltning, men virker altså som det modsatte: Hvis man om en bestemt person ved, at han eller hun har deaktiveret CPR-login, kan man hurtigt give et kvalificeret bud på mulige CPR-numre.

13
17. juni 2014 kl. 12:48

Prøv at 'Opret digital fuldmagt' - navn + cpr-nummer og opdater.... Giver ikke nogen adresse - men fortæller omgående personen eksisterer.

10
17. juni 2014 kl. 10:02

Folk er klart blevet dårligere til at huske numre, men det er ikke ret mange år siden, at de færreste havde problemer med at huske telefonnumre.

Lad alle vælge sig et nyt CPR-nummer. Lad for den sags skyld folk betale 100 kr for at få et guldnummer, hvis de gerne vil have et nummer med mange ens cifre de nemmere kan huske (og andre ligeså).

8
17. juni 2014 kl. 09:36

Den egentlige skandale ligger i at de overhovedet har brugt CPR som "adgangskode". Har de haft hovedet under armen. Det et netop det som viser at CPR er noget skidt!

16
18. juni 2014 kl. 16:17

Det et netop det som viser at CPR er noget skidt!

Du tager fejl. Ethvert elektronisk system er ubegavet som en ladeport.

Men båndbredde mellem ørerne på en række personer er der alvorlig mangel på!

Beslutningstagerne og embedsapparatet er problemet og it er symptomet (læs politik, kravstiller, udvikler og tester).

Jo længere tiden går, jo flere vil miste taburetten og den politisk fremtid.

11
17. juni 2014 kl. 11:41

Den egentlige skandale ligger i at de overhovedet har brugt CPR som "adgangskode". Har de haft hovedet under armen.

Hvilken identifikator foreslår du i stedet? Pasnummer eller kørekortnummer er ikke så egnet -- det er jo ikke nødvendigvis alle, der har sådan ét, og politiet er lidt tungere at implementere opslag imod.

Problemet er og bliver at mange godtager identifikationen (CPR nummeret) som autorisation (f.eks. til udlevering af informationer) De to ting skal adskilles, basta, og indtil det sker har vi dette morads, som er en reel hindring for at lave mere effektive systemer.

7
17. juni 2014 kl. 08:42

"Samtidig beklager retspræsident Søren Sørup Hansen, at det ikke er blevet opdaget før.

  • Det er der ikke nogen, der har opdaget. Og det er i øvrigt dybt beklageligt. Der er ikke nogen, der har fortalt det, før I sendte os det her, siger Søren Sørup Hansen."

Kan I se fejlen?

3
16. juni 2014 kl. 19:01

Lad CPR nummeret være hvad det er - et unikt ID til en bestemt person. Istedet, så få dog myndigheder og virksomheder til at stoppe med at bruge det som adgangskode etc. Der eksisterer allerede løsninger til den opgave.

For min skyld kunne de lægge alle CPR numre op i telefonbogen, for så bliver problemet nok løst hurtigt.

1
16. juni 2014 kl. 17:16

man vil jo blot kunne skrive et lidt mere advanceret program, der tester på tværs af de forskellige online services, der har cpr check.. så drop cpr nr opslag eller drop cprnummeret

2
16. juni 2014 kl. 17:53

man vil jo blot kunne skrive et lidt mere advanceret program

Du spilder dit råd på Ballelars-vi-alene-vide Benni - desværre.

Det offentlige har ikke gennem de seneste 10-15-20 år indtænkt eller indbygget særlig sikkerhed i deres systemer - det koster penge, så kun rudimentær del bygges og dele påklistres denne.

De har heller ikke ville bruge penge på at leje prof. uafhængig audit, så man kan fanger og lapper hullerne i takt med audit finder dem.

Tilmed har styrelser m.fl. ikke løbende uddannet offentlig personale i it-sikkerhed (X00.000 personer - suk), så på et tidspunkt vil ballonen revne.

Tanken om hvor mange der kender de utallige huller rundt omkring i offentlige systemer er skræmmende.

Hvor meget er fisket ud når et hul bliver fundet og det bliver lukket?

Da der antagelig (= resten af det klyt) heller ikke er indbygget en tilstrækkelig vandtæt logning af brug/misbrug - så vil vi aldrig..

  • kende omfanget af misbruget
  • kunne bruge logningen til at finde de resterende huller.

Lad nu en kvik V2 journalist spørge Digital Tinglysning, hvorfor logningen i utallige år ikke sendte en advarsel ud om misbrug. Svaret er vel indlysende, "hvad for en logning.. lige det logger vi ikke.. lige der....".