Dobbelt kiks hos QXL.dk sender CPR-numre ukrypteret over nettet

Brugere, der validerede deres konto hos QXL.dk med et CPR-nummer, sendte oplysninger over en usikker forbindelse. Selv om QXL påstår problemet er løst, er virkeligheden en anden.

Få dit navn og adresse valideret lynhurtigt ved at sende dit CPR-nummer, der så bliver holdt op imod Folkeregisterets oplysninger. Så kan andre brugere se, at du er den, du udgiver dig for, tilbyder auktionssitet QXL.dk.

Men i en periode har alle, der tog imod det tilbud, sendt deres personnummer til QXL via en ukrypteret forbindelse, for ved en fejl forsvandt https-sikkerheden, sandsynligvis i forbindelse med en opdatering af platformen, oplyser QXL.

»Da vi implementerede CPR-validering, sikrede vi os hos vores leverandør, at det var med en krypteret forbindelse. Men krypteringen gik tabt, og vi gætter på, at det er sket for nogle uger siden,« siger Hanne Larsen, kommunikationschef i QXL.dk

Valideringen sker ved, at QXL trækker data fra Folkeregisteret og sammenligner navn og CPR-nummer. Stemmer alt overens, får brugeren et grønt CPR-stempel på sin profil.

Løste problemet - halvt
Problemet med den manglende kryptering blev opdaget, da en bruger henvendte sig til firmaet søndag d. 14. juni og gjorde opmærksom på, at det ikke var sikkert at sende CPR-numre til QXL, når forbindelsen ikke skete via https-protokollen.

»Det var super heldigt, at han henvendte sig, når nu vi ikke selv havde opdaget problemet,« lyder det fra Hanne Larsen, der beklager problemet, men mener, at QXL har gjort, hvad de kunne.

»Det er selvfølgeligt uheldigt, at fejlen er sket, men vi har handlet i god tro, og vores leverandør af CPR-valideringen, schweiziske Datatrans, har fulgt de retningslinjer, der er,« siger hun.

Nu er problemet løst, fortæller Hanne Larsen, efter at QXL's centrale it-afdeling i Frankrig har været i sving. Men da Version2 derefter besøger QXL.dk, er det stadig en almindelig, ukrypteret http-side, der håndterer CPR-valideringen.

Et opkald mere til QXL afslører, at der er to forskellige indgange til CPR-valideringen, og at det kun var den ene af dem, der var blevet rettet.

»Det får vi rettet med det samme,« siger Hanne Larsen.

Brugerne er trygge med CPR-validering
For at blive oprettet som bruger på QXL skal ens identitet bekræftes. Alternativet til at bruge sit CPR-nummer er at vente et par dage på et brev med en sikkerhedskode. Men der har tidligere været sager, hvor svindlere trods brev-løsningen alligevel kunne oprette sig med falsk identitet.

I ét tilfælde fik en udenlandsk fupmager for eksempel scoret 800.000 kroner på 17 dage ved at sælge mobiltelefoner på QXL.dk og så stikke af til udlandet, uden nogensinde at sende køberne en telefon.

Derfor er CPR-valideringen populær - og så er den langt hurtigere for brugerne, der med det samme kan komme i gang.

»Mange føler sig mere trygge, når de kan se, at dem, de handler med, er CPR-validerede. Vi har fået en positiv respons fra brugerne om CPR-validering, og det er også blevet markedsstandard nu om dage,« siger Hanne Larsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Problemet i denne sag er ikke at QXL ikke kan passe på cpr-numre. Selvfølgelig kan de ikke det. Ingen server er sikker.

Problemet er heller ikke at man søger at forebygge misbrug ved at etablere ansvarlighed.

Problemet er at en uansvarlig stat har efterladt civilsamfundet i en situation hvor man misbruger grundidentiteten i sammenhænge hvor man slet ikke har behov for eller burde komme i nærheden af sådanne data.

Den direkte ansvarlige er det makværk som foregår i Digital Forvaltning som slet ikke forholder sig til hvad samfundet har brug for, men kun fokuserer på hvad centraladminsitrationen ønsker for at placerere sig selv i centrum af alting.

Det fører til katastrofer som DanId, adgang til CPR-systemet og tilsvarende.

Misbruget er ikke kriminelt men institutionelt.

  • 0
  • 0
Mads Bendixen

Det fører til katastrofer som DanId, adgang til CPR-systemet og tilsvarende

Jeg tror de fleste efterhånden har fået fornemmelsen af du ikke kan lide måden det bliver håndteret på (og især DanID). Men behøver du inddrage den evige rant i hver kommentar? Jeg tror (og håber) der findes steder, hvor din indsats har større effekt.

  • 0
  • 0
Hans Schou

Jeg tror de fleste efterhånden har fået fornemmelsen af du ikke kan lide måden det bliver håndteret på (og især DanID).

Det virker som om du ikke helt forstår problemet med de data der flyder rundt, og hvordan disse kan misbruges.

For mig at se er det første problem at har man et CPR-nr så kan man i en eller anden grad misbruge dette. Start fx med at skifte folkeregisteradresse til en adresse hvor nogen bor der er bortrejst i længere tid. Herefter har man fuld adgang til en andens identitet.

Om QXL er spørgsmålet så om det er et lovkrav at der anvendes CPR, og det er der mig bekendt ikke. Derfor bør QXL afholde sig fra at gøre brug af sådanne "gimmicks"[0], når det kan være med til skade brugerne.

QXL burde få en kæmpebøde, der er så stor at alle der tænker i brug af gimmicks lader være med at anvende CPR.

[0] Bemærk citationstegn.

  • 0
  • 0
Anonym

Jeg tror de fleste efterhånden har fået fornemmelsen af du ikke kan lide måden det bliver håndteret på (og især DanID). Men behøver du inddrage den evige rant i hver kommentar? Jeg tror (og håber) der findes steder, hvor din indsats har større effekt.

Problemet er at diskussionen af sikkerheds- og økonomisk relaterede emner typisk går fejl på kausalitetsforståelsen på netop dette punkt.

Jeg påpeger det hvor jeg ser det, så folk kan blive mere klar over hvor destruktiv umynddiggørelsen af mennesker faktisk er for både sikkerheden og samfundsøkonomiens evne til at finansiere velfærdsstaten.

  • 0
  • 0
Anonym

Om QXL er spørgsmålet så om det er et lovkrav at der anvendes CPR, og det er der mig bekendt ikke. Derfor bør QXL afholde sig fra at gøre brug af sådanne "gimmicks"[0], når det kan være med til skade brugerne.

Det er faktisk ulovligt. CPR-nummeret må ikke bruges i privat sammenhæng.

Men tilsynsmyndighederne har været på mental badeferie de sidste 10 år. I stedet for at kaste håndklædet i ringen og erkende at de slet ikke har styr på deres forvaltningsopgave, så ser vi disse konstante og systematiske svigt.

Det er efterhåndten mere reglen end undtagelsen. Og ja, - Datatilsynet har jo også svigtet i regi af DanId, de har intet retsgrudlag til at acceptere den form for intravenøs overvågning og magtmisbrug som de netop har til formål at forhindre.

  • 0
  • 0
Log ind eller Opret konto for at kommentere