DXC har lækket over 1,2 mio. borgeres cpr-numre i web-adresser

Illustration: the_lightwriter/Bigstock
En gammel softwarefejl har ført til afsendelse af cpr-numre fra tjenesten TastSelv Borger, indlejret i URL'er til Google. Kammeradvokaten undersøger muligheden for at rejse krav mod leverandøren, DXC Technology.

Udviklings- og Forenklingsstyrelsen har opdaget en fejlagtig afsendelse af cpr-numre fra it-systemet TastSelv Borger til flere underleverandører. Den bagvedliggende fejl er rettet, og der sendes ikke længere cpr-numre utilsigtet fra TastSelv Borger. Drift og vedligeholdelse af systemet varetages af DXC Technology.

Det skriver styrelsen i en pressemeddelelse.

Fejlen indebærer ikke risiko for misbrug af borgernes oplysninger, hævdes det i meddelelsen.

Den utilsigtede afsendelse af cpr-numre skyldes en softwarefejl, som har betydet, at numrene blev en del af en web-adresse, der blev sendt til henholdsvis Google og Adobe.

DXC har overfor styrelsen oplyst, at det i det ene tilfælde vedrører ca. 1,26 mio. borgeres cpr-numre i perioden 2. februar 2015 til 24. januar 2020, mens det andet tilfælde vedrører ca. 1.330 borgeres cpr-nummer i perioden 29. januar 2020 til 1. februar 2020.

Cpr-nummer smidt ind i URL til Google

I en redegørelse fra Udviklings- og Forenklingsstyrelsen til Folketingets Skatteudvalg, skrives der, at DXC over for styrelsen har oplyst, at den første hændelse, som blev konstateret den 21. januar 2020, er sket, når en borger har logget på ’TastSelv Borger’ og klikket på 'Ret kontaktoplysninger' for at checke eller rette sine kontaktoplysninger.

Hermed har borgerens browser kaldt en standardfunktion hos ’Google Hosted Libraries’, som skulle hjælpe med at øge hastigheden på websiden, så brugeroplevelsen ifølge redegørelsen bliver bedre.

Når funktionen er kaldt, er borgerens cpr-nummer sendt med som en del af URL’en til Google. Der er i perioden fra den 2. februar 2015 til den 24. januar 2020 samlet set afsendt cpr-numre for ca. 1,26 mio. borgere, der en eller flere gange har rettet deres kontaktinformation.

URL’en er afsendt via en krypteret forbindelse. Som en integreret del af modtagerprocessen slettes al identificerbar information af Google og er således hverken blevet logget eller lagret hos Google. Dette er skriftligt bekræftet af Google, står der i redegørelsen.

Fejl går flere år tilbage

Det vurderes på den baggrund, at der ikke har været en fare for misbrug af borgernes cpr-numre. DXC har desuden bekræftet over for Udviklings- og Forenklingsstyrelsen, at der ikke længere utilsigtet afsendes cpr-numre til Google.

Hændelsen relaterer sig til udformningen af systemet bag TastSelv Borger-tjenesten, som har gjort, at cpr-nummeret indgik i URL ́en ved kald af 'Ret kontaktoplysninger'. Udformningen er sket tilbage i tiden, formentlig helt fra ’TastSelv Borger’ blev udviklet, hvor det - ifølge redegørelsen - ikke var unormalt at anvende cpr-nummeret i URL’er. Over årene er denne udformning af systemerne ændret, men ved en fejl er det ikke ændret i 'Ret kontaktoplysninger'.

En konsekvens af den identificerede fejl er, at såfremt en borger har anvendt en delecomputer, så vil browserhistorikken være tilgængelig for den næste bruger af computeren, hvis browserhistorikken ikke er slettet, inden computeren forlades, står der i redegørelsen.

Styrelse vurderer: Ikke risiko for misbrug af cpr-numre

Udviklings- og Forenklingsstyrelsen vurderer, at der i ovenstående sager ikke er eller har været nogen risiko for misbrug af borgernes cpr-numre, idet data er blevet sendt via en krypteret forbindelse og aldrig har ligget offentligt tilgængeligt. Ifølge DXC er der i sagerne desuden ikke videregivet andre personoplysninger som løn, skatteforhold eller lignende til it-leverandører, som ikke er omfattet af en databehandleraftale.

Udviklings- og Forenklingsstyrelsen har bedt DXC undersøge og bekræfte, at der ikke i andre systemer og applikationer, som DXC varetager driften af for Skatteforvaltningen, fortsat foretages utilsigtet afsendelse af cpr-numre i relation til den konstaterede fejl. Dette har DXC bekræftet.

»Der er tale om en ældre softwarefejl, som i dag er rettet. Det er vigtigt at slå fast, at der i de to sager ikke er risiko for, at oplysningerne, der er sendt krypteret, er blevet misbrugt. I det ene tilfælde er informationen blevet slettet som en integreret del af modtagerprocessen, hvilket betyder, at den hverken er logget eller lagret hos Google. I det andet tilfælde har vi fået bekræftet af Adobe, at data er blevet slettet. Derfor skal man som borger ikke være nervøs for, at ens oplysninger kan være misbrugt,« hævder direktør i Udviklings- og Forenklingsstyrelsen Andreas Berggreen i pressemeddelelsen.

Kammeradvokat skal se på juridiske skridt mod DXC

Styrelsen har anmodet statens advokat, Kammeradvokaten, om at vurdere, hvorvidt softwarefejlen giver grundlag for at rejse et krav mod it-leverandøren DXC.

»Vi tager denne slags sager meget alvorligt. Og vi skal naturligvis kunne være sikre på, at vores leverandører håndterer alle data efter gældende lov og indenfor de rammer, der er aftalt med dem. Det må vi konstatere ikke har været tilfældet her, og derfor har vi anmodet Kammeradvokaten om at vurdere, hvilke juridiske skridt, sagen giver anledning til over for leverandøren,« siger Andreas Berggreen ifølge pressemeddelelsen.

Udviklings- og Forenklingsstyrelsen har anmeldt sikkerhedsbruddene til Datatilsynet, da der er tale om brud på persondatasikkerheden.

Skatteminister: »Jeg ser på sagen med stor alvor«

I et overleveringsbrev til Skatteudvalget skriver Skatteminister Morten Bødskov (S):

»Udviklings- og Forenklingsstyrelsen har oplyst mig, at styrelsen tillige vil igangsætte en til-svarende gennemgang af borger- og virksomhedsrettede it-systemer hos Skatteforvaltningens øvrige it-leverandører. Jeg vil gerne understrege, at jeg ser på sagen med stor alvor, hvorfor jeg er tilfreds med, at Udviklings- og Forenklingsstyrelsen skærper deres tilsyn med alle it-leverandører, samt at styrelsen har bedt Kammeradvokaten om at vurdere, hvorvidt der kan rejses krav mod it-leverandøren DXC.«

DXC ønsker ikke at svare på spørgsmål om sagen, men har fremsat denne udtalelse til Version2 på mail:

»Vi har sammen med Udviklings- og Forenklingsstyrelsen afhjulpet potentielle sårbarheder. På baggrund af vores umiddelbare gennemgang, har vi på nuværende tidspunkt ingen grund til at mene, data er blevet kompromitteret. Vi fortsætter med at undersøge sagen i tæt samarbejde med styrelsen.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Morten Fordsmand

Er vel ikke i sig selv hemmelige, det er kun hvis de kan hægtes sammen med anden personinformation f.eks. et navn eller en adresse at det bliver grisset.

Da der er en konvention for opbygning af CPR-numre er de jo nemme at konstruere selv om man ikke dermed ved hvem man peger på.

  • 2
  • 4
#3 Jens Beltofte

Hvis det er kryteret er der vel ikke sket noget men

CPR-nummeret har jo ikke i sig selv været krypteret, blot forbindelsen mellem brugerens browser og Google server hvor det hostede Javascript bibliotek hentes fra. Så i teorien kunne Google jo godt logge forespørgslerne til deres CDN og misbruge informationen hvis de ville....

Forstår dog ikke hvordan en udvikler formår at sende CPR-nummeret som en URL parameter til Google's CDN med Javascript biblioteker. Giver ingen mening for mig....

Jeg er helt med på at det er populært at benytte disse hostede open source Javascript libraries fra Google og andre leverandører, men forstår ikke hvordan Skat / DXC kan vælge at bruge denne service fremfor at hoste Javascript bibliotekterne selv. Slet ikke på sider med så personfølsomme oplysninger som det er tilfældet på "Tast selv"-løsningen. Med det valg ligger de kontrollen over de Javascript libraries der benyttes over på Google og andre leverandører som de så forventer ikke vil misbruge data fra siderne hvor biblioteket benyttes. Et evt. argument om at de forbedrer hastigheden på siderne ved at benyttede hostede bibliotekter fra Google holder jo reelt ikke, da Skat kunne have deres egen CDN med bibliotekterne hvis de ønsker det (eller blot en lille Varnish server.....).

  • 12
  • 0
#5 Axel Nielsen

Når nu en stor del af alle CPR-numre alligevel er blevet "offentlige" eller "potentielt offentlige" kan det vel ikke være voldsomt vanskeligt at beslutte at CPR ikke længere på nogen måde skal kunne bruges som "underskrift" eller "dokumentation for hvem jeg er".

Ville være rart at få lukket det "hul".

  • 13
  • 0
#6 Niels Madsen

For et par dage siden fik en forhenværende socialrådgiver en bøde på kr 5000 for at lække 90 borgernes sager til nogle journalister, med henblik på at komme Frederiksberg kommunes ulovlige sagsbehandling til livs.

Så DXC, tidligere kendt som CSC, kan vel se frem til en bøde i størrelsesordenen kr 70.000.000,- eller deromkring.

Jeg husker ikke lige hvor stor bøden var da virksomheden i 2014 sidst lækkede en lille million CPR numre, men mon ikke at den var til at mærke?

  • 14
  • 0
#7 Anne-Marie Krogsbøll

..., at cpr-numre er sluppet med. Det er slemt nok. Men jeg fatter simpelthen ikke, hvorfor der overhovedet er noget som helst, der skal sendes fra Skat og TastSelv til Google? Hvorfor? Jeg fatter det simpelthen ikke. Det er da næsten den egentlige skandale.

Hvorfor skal det offentlige agere pushere/alfonser for overvågningskapitalister, og kaste nogen som helst data om borgerne videre til disse, og derved pushe borgerne ind i disses nærmest verdensomspændende fangstnet?

De ansvarlige for denne videresendelse af borgerne og deres data, uanset hvilke data, der er tale om , til disse datagribbe, er i mine øjne moralsk kriminelle - hvis de ikke er det juridisk. De går ud over deres beføjelser - for ingen borgere (eller i hvert fald ikke ret mange) har givet dem lov til at sælge deres privatliv.

Endnu engang står vi med en kæmpe uoprettelig skandale på digitaliseringsområdet. Er der snart overhovedet nogen data tilbage, som ikke har været lækket et eller andet sted?

Alligevel fortsætter man med at tromle videre med hovedløs amok-digitalisering, mens man messer "Giv mig dine data, du kan være helt tryg...giv mig dine data, du kan være helt tryg...Vi deler dem kun med Google, Amazon, Apple, Microsoft, Facebook, Tinder, Twitter, og så lige en milliard forskere"

  • 9
  • 5
#8 Anne-Marie Krogsbøll

"Som en integreret del af modtagerprocessen slettes al identificerbar information af Google og er således hverken blevet logget eller lagret hos Google. Dette er skriftligt bekræftet af Google, står der i redegørelsen."

Hvad skal det overhovedet der? Og har DXC underleverandør-databehandleraftaler med Google? Og er det med SKATs viden og godkendelse, at vore data sendes rundt i verden? Og hvor i verden befinder vi (og vore cpr-numre) os så?

"Udviklings- og Forenklingsstyrelsen har oplyst mig, at styrelsen tillige vil igangsætte en til-svarende gennemgang af borger- og virksomhedsrettede it-systemer hos Skatteforvaltningens øvrige it-leverandører"

(Har vi nu også fået en "udviklings- og forenklingsstyrelse?)

Det lyder som om, man mistænker noget meget større. Hvorfor mon?

Kan vi ikke snart få en time-out fra alle disse vanvittige projekter, som er ved at køre både vores samfund og vor ret til privatliv i afgrunden?

  • 3
  • 0
#9 Anne-Marie Krogsbøll

https://www.complidia.com/privacy/artikel/techgiganter-kan-faa-lovlig-ad...

Disse folk - datasnylterne i toppen af magtpyramiden, som skaber sig karrierer, magtbastioner og formuer ved at trampe på os andre, stjæle vore privatliv, og behandle det som om, det er deres private ejendom, og som giver tilladelse til dette uansvarlige og skruppelløse svineri med befolkningens privatliv - er i mine øjne forbrydere. Jeg vil simpelthen ikke finde mig i det - men jeg ved ikke, hvad jeg skal gøre.

  • 3
  • 6
#10 Knud Larsen

Ja Skat er en af de største. Skat har ikke en konto for hver skatteborger. Trods nu 4,6 mia kr brugt på at lave et pantelåner system EFI PRSM etc. Har man slet ikke styr på det helt grundlæggende.

Ja du har ret Anne Marie, hvad skal man gøre. Den højt beråbne ytringsfrihed bruges bare til at snakke Folketinget efter munden. Ikke til at lade borgerne komme frem med det traumatiske og ulovlige tyveri og / samt korruption.

  • 3
  • 3
#11 Niels Danielsen

Er vel ikke i sig selv hemmelige, det er kun hvis de kan hægtes sammen med anden personinformation f.eks. et navn eller en adresse at det bliver grisset.

Der er grisset... Der er hægtet sammen med din google cokkie, din semi-statiske IP addresse etc. Selvom jeg sletter alle cokkies ved genstart af browser, og jeg ikke har nogen google account, så går der ikke længe før at google maps zomer ind på min addresse. Selv med en ny PC tilsluttet internettet i den anden ande af byen, så vil de kunne genkende mig ved besøg af mit normale mønster af nørdsidder (inc. denne) der alle bruger scrips fra googles værktøjskasse. Der er helt sikkert også ehandels butikker der aflevere navn, addresse, og telefonnummer til google... En enkelt der gør det er nok.. De har det hele...

  • 7
  • 4
Log ind eller Opret konto for at kommentere