Digital tinglysning lukker for CPR-smuthul

Illustration: leowolfert/Bigstock
En opdatering skal lukke for muligheden for at misbruge den digitale tingbog til at finde frem til danskernes CPR-numre.

Det er den digitale tinglysning, der har været anvendt til at lække CPR-numre på blandt andet statsminister Helle Thorning-Schmidt. Det vil Tinglysningsretten nu sætte en stopper for med en opdatering, skriver DR.

Kender man fødselsdato og køn, er der forholdsvis få kombinationer, som er gyldige kandidater til at være personens CPR-nummer. Går man ind på digital tinglysning har man mulighed for at slå kombinationerne op. Hvis man rammer den rigtige, kan man få adresseoplysningerne fra CPR-registret.

Tinglysningsretten har mandag eftermiddag lukket ned for at kunne bruge systemet på denne måde.

»Det er dybt beklageligt,« siger retspræsident Søren Sørup Hansen fra Tinglysningsretten til DR.

Version2 har bekræftet, at det var muligt at misbruge tinglysningssystemet til at finde frem til det korrekte CPR-nummer og de tilhørende oplysninger. Tinglysningsretten oplyser på hjemmesiden, at systemet ventes tilbage i drift efter klokken 17.30.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Finn Christensen

man vil jo blot kunne skrive et lidt mere advanceret program

Du spilder dit råd på Ballelars-vi-alene-vide Benni - desværre.

Det offentlige har ikke gennem de seneste 10-15-20 år indtænkt eller indbygget særlig sikkerhed i deres systemer - det koster penge, så kun rudimentær del bygges og dele påklistres denne.

De har heller ikke ville bruge penge på at leje prof. uafhængig audit, så man kan fanger og lapper hullerne i takt med audit finder dem.

Tilmed har styrelser m.fl. ikke løbende uddannet offentlig personale i it-sikkerhed (X00.000 personer - suk), så på et tidspunkt vil ballonen revne.

Tanken om hvor mange der kender de utallige huller rundt omkring i offentlige systemer er skræmmende.

Hvor meget er fisket ud når et hul bliver fundet og det bliver lukket?

Da der antagelig (= resten af det klyt) heller ikke er indbygget en tilstrækkelig vandtæt logning af brug/misbrug - så vil vi aldrig..
- kende omfanget af misbruget
- kunne bruge logningen til at finde de resterende huller.

Lad nu en kvik V2 journalist spørge Digital Tinglysning, hvorfor logningen i utallige år ikke sendte en advarsel ud om misbrug. Svaret er vel indlysende, "hvad for en logning.. lige det logger vi ikke.. lige der....".

Anders Matthiessen

Lad CPR nummeret være hvad det er - et unikt ID til en bestemt person. Istedet, så få dog myndigheder og virksomheder til at stoppe med at bruge det som adgangskode etc. Der eksisterer allerede løsninger til den opgave.

For min skyld kunne de lægge alle CPR numre op i telefonbogen, for så bliver problemet nok løst hurtigt.

Thomas Brodersen

"Samtidig beklager retspræsident Søren Sørup Hansen, at det ikke er blevet opdaget før.
- Det er der ikke nogen, der har opdaget. Og det er i øvrigt dybt beklageligt. Der er ikke nogen, der har fortalt det, før I sendte os det her, siger Søren Sørup Hansen."

Kan I se fejlen?

Andreas Bach Aaen

Folk er klart blevet dårligere til at huske numre, men det er ikke ret mange år siden, at de færreste havde problemer med at huske telefonnumre.

Lad alle vælge sig et nyt CPR-nummer. Lad for den sags skyld folk betale 100 kr for at få et guldnummer, hvis de gerne vil have et nummer med mange ens cifre de nemmere kan huske (og andre ligeså).

Jesper S. Møller

Den egentlige skandale ligger i at de overhovedet har brugt CPR som "adgangskode". Har de haft hovedet under armen.

Hvilken identifikator foreslår du i stedet? Pasnummer eller kørekortnummer er ikke så egnet -- det er jo ikke nødvendigvis alle, der har sådan ét, og politiet er lidt tungere at implementere opslag imod.

Problemet er og bliver at mange godtager identifikationen (CPR nummeret) som autorisation (f.eks. til udlevering af informationer) De to ting skal adskilles, basta, og indtil det sker har vi dette morads, som er en reel hindring for at lave mere effektive systemer.

Søren Fuglede Jørgensen

Er der andre offentlige services, der indeholder samme sikkerhedshul?

NemID lader til at have en mildere version af hullet: Hvis man søger på et eksisterende CPR, der har deaktiveret CPR-login i NemID, giver det en anden fejlmeddelelse, end hvis man søger efter et ikke-eksisterende CPR, så man får med andre ord automatisk at vide, at man har ramt plet. Deaktivering af CPR-login er vel tænkt som en ekstra sikkerhedsforanstaltning, men virker altså som det modsatte: Hvis man om en bestemt person ved, at han eller hun har deaktiveret CPR-login, kan man hurtigt give et kvalificeret bud på mulige CPR-numre.

Finn Christensen

Det et netop det som viser at CPR er noget skidt!

Du tager fejl. Ethvert elektronisk system er ubegavet som en ladeport.

Men båndbredde mellem ørerne på en række personer er der alvorlig mangel på!

Beslutningstagerne og embedsapparatet er problemet og it er symptomet (læs politik, kravstiller, udvikler og tester).

Jo længere tiden går, jo flere vil miste taburetten og den politisk fremtid.

Log ind eller Opret konto for at kommentere