Musikeres cpr-numre blotlagt af tudsegammelt it-system hos DR

Flere rettighedshaveres personoplysninger, herunder cpr-numre, har været frit tilgængelige på dr.dk.

Jakob Møllerhøj@jmollerhoj Mandag, 4. september 2017 - 5:117

Cpr-numre på flere rettighedshavere indenfor musik har ligget i DR's systemer på en måde, så enhver via internettet har kunnet tilgå personoplysningerne.

Det afslører Google-søgninger, som Version2 har foretaget.

Cpr og misbrug

Der er delte meninger om, i hvor høj grad kendskab til et cpr-nummer i dag kan misbruges af kriminelle.

Det er antageligt sværere at misbruge kendskabet til andres cpr-numre i 2017, end det var for 10 år siden, al den stund at der kommet et øget fokus på, at nummeret ikke i sig selv kan bruges til autentifikation. Altså til at bekræfte identiteten på en person i forbindelse med eksempelvis udstedelse af et betalingskort. Sådan noget som identitetstyveri vil dog alt andet lige nok være lettere, jo flere personoplysninger - herunder et cpr-nummeret - en angriber kan få kendskab til.

I forhold til Identitetstyveri oplyser Det Kriminalpræventive Råd, at »det er imidlertid svært at misbruge CPR-oplysninger til at købe varer eller oprette lån på nettet. Men hvis man mister eller får stjålet sin pung med identitetspapirer som fx kørekort og sygesikringsbevis, kan de misbruges til at foretage kreditkøb i butikker.«

En nøgle
Chef for CPR-kontoret under økonomi- og indenrigsministeriet Carsten Grage har tidligere fortalt til Version2, at cpr-nummeret skal betragtes som en nøgle, der kan bruges til at identificere personer med.

»Det er i hele samfundet, så derfor er det virkeligt at gøre sig selv en bjørnetjeneste, hvis man betragter personnummeret som noget helt unikt, der skal beskyttes, som var det en pinkode eller lignende. Det vil også være med til skabe et billede af, at personnummeret kan bruges til at autentificere en person. Det kan man ikke, og det må man ikke kunne,« sagde Carsten Grage i en Version2-artikel i 2014.

I samme artikel kalder Carsten Grage det for en skrøne, at »bare fordi man opfanger en andens personnummer, så kan man eksempelvis lige gå ind i en bank og hæve penge«.

En særlig beskyttelse
Selvom uvedkommendes kendskab til et cpr-nummer i sig selv nok ikke medfører den store ulykke i dag, så nyder nummeret ikke desto mindre en særlig beskyttelse i Persondataloven. Det forklarede tidligere kontorchef i Datatilsynet Lena Andersen i artiklen fra 2014. Af paragraf 11 i loven fremgår det således, at nummeret ikke må offentliggøres uden udtrykkeligt samtykke.

Endvidere er der paragraf 41 som stiller krav til dataansvarlige og databehandlere om at træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysninger komme til uvedkommendes kendskab.

»Generelt kan man sige, at hvis nogen bevidst offentliggør cpr-numre, så er det paragraf 11, vi kigger på. Hvis en kommune eller en virksomhed som følge af fejl og utilstrækkelig sikkerhed kommer til at offentliggøre cpr-numre, så er det paragraf 41,« forklarede Lena Andersen til Version2 tilbage i 2014.

Kilder: Version2, Det Kriminalpræventive Råd, Persondataloven

»Det er desværre korrekt, at der er cpr-numre blandt data i de filer, som du har fundet. Vi har fundet navn, adresse og cpr-numre på i alt 6 personer i filerne,« oplyser underdirektør for DR Teknologi Mikkel Müller i en mail sendt via DR's presseafdeling til Version2.

»Det er vi rigtigt kede af, og vi har straks efter, at vi blev opmærksomme på problemet sørget for at fjerne filerne og undersøge, hvordan det kan være gået til.«

Personoplysningerne har ikke har kunnet søges frem direkte af besøgende via DR's hjemmeside, understreger Mikkel Müller. For at finde oplysningerne har det krævet »en scanning på tværs af sitet«, som han formulerer det.

Version2 opdagede de blotlagte personoplysninger i forbindelse med Google-søgninger, der oprindeligt ikke var rettet specifikt mod DR.

Har ikke været i drift siden 2006

Mikkel Müller forklarer, at filerne med personoplysningerne stammer fra et gammelt system, som DR har anvendt til at rapportere til rettighedshaverne af musik, hvilke titler og kunstnere der er afspillet i DR.

»Systemet har ikke været i drift siden ca. 2006, og de pågældende filer er dannet tilbage i 1999-2000, så vidt vi kan se. Vi må konstatere, af filerne ikke har været beskyttet ordentligt, og de er ikke blevet fjernet i forbindelse med nedlukning af systemet, formentlig på grund af en menneskelig fejl,« står der i det skriftlige svar fra Mikkel Müller.

Han fortæller, at det ikke er muligt at komme yderligere til bunds i sagen, da det er så længe siden, og at DR ikke længere har medarbejdere, som kender det pågældende system.

En længere periode

Det er uvist, hvor længe filerne har været tilgængelige fra internettet. Eksempelvis om der har været adgang til dem siden årtusindskiftet.

»Vi kan desværre ikke sige noget sikkert om, hvor længe de har været tilgængelige. Filerne er dannet i 1999-2000, og det gamle system til rettighedsrapportering er lukket omkring 2006. Vi kan ikke afdække, hvilken adgangskontrol der har været dengang. Filerne burde under alle omstændigheder være blevet fjernet, da systemet blev lukket,« fremgår det af det skriftlige svar fra Mikkel Müller.

Han konkluderer på den baggrund selv, at filerne har ligget tilgængelige fra internettet i en lang periode. Mikkel Müller gætter på, at filerne er blevet indekseret af Google, mens koda-gramex-systemet var aktivt, altså op til omkring 2006. Og derfor har personoplysningerne kunnet søges frem via Google.

Hos DR vil man nu se på, hvad der kan gøres for at undgå, at personoplysninger på den måde bliver blotlagte. Mikkel Müller fortæller, at det blandt andet indebærer en generel scanning af DR-servere tilgængelige fra internettet at sikre, at der ikke skulle være andre forekomster af problemet.

»Vi er meget kede af, at de pågældendes persondata har været at finde i de gamle filer, og vi tager straks kontakt med de berørte for at forklare dem om baggrunden og undskylde denne hændelse,« oplyser Mikkel Müller.

DR er i øvrigt gået over til et rettighedsrapporteringssystem kaldet RAP version 2. Systemet rapporterer til Koda og Gramex med en XML-rapport. Denne rapport indeholder ikke cpr-numre, og den er beskyttet med login, og overførsel er krypteret, oplyser Mikkel Müller.

Sponseret indholdSådan udfordrer DevOps din sikkerhed – og sådan løser du problemet

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (7)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

Gert G. Larsen Mandag, 4. september 2017 - 14:46

Og hvad med de ramte?

Men hvordan kompenseres de kompromitterede borgere? Nyt CPR-nummer? Sørger DR's jurist for det? Eller fikser forsikringen det lige, hvis man har en forsikring mod identitetstyveri?

Ditlev Petersen Mandag, 4. september 2017 - 22:11

Der er nok kun en løsning

Straf til de medier, der omtaler sikkerhedshuller. Hvis man skal følge den sædvanlige stil med, at det er ikke hullet, der er et problem. Det er, at det bliver afsløret.

Kim Schulz Tirsdag, 5. september 2017 - 12:55

Re: Og hvad med de ramte?

Det er bare et nummer. hvis nogen tror det har en reel værdi mere med så mange gange de har været lækket, så må de tro om igen.

CPR som sikker identifikation har været dødt i mindst 10 år og det er ufatteligt at der stadig er dette fokus på et ligegyldigt nummer som folk får tildelt ved fødslen. Hvis viden om anden persons CPR nummer kan misbruges i en virksomhed af en slags, så er det virksomheden der har et problem og bør straffes - de har simpelthen bygget deres system på en for usikker løsning. De burde få daglige dummebøder indtil de fik fikset deres system.

Ebbe Skak Larsen Tirsdag, 5. september 2017 - 13:32

SÅ er det da tid til et musik-smædenummer, hvad??

Ligesom "United Breaks Guitars!"? Hvad med "DR leaks CPR!" på samme melodi... anyone? :-)

Nåmen, læringer: - ryd op i gamle systemer - selvom det er kedeligt! - overhold loven, også selvom det virker omsonst (med CPR).

Alternativ til ikke at overholde selv dårlige love - er jo anarki.

Men som Kim sagde... kan vi ikke snart holde op med at narre os selv med myten om "ekstra CPR"-sikkerhed, og bruge uendelige summer af penge på at beskytte og lovgive og retsforfølge over det emne? Og så i stedet bruge pengene, hvor de rent faktisk hjælper noget? Det kunne være rart!

Se evt. baggrundsartiklen: https://www.linkedin.com/pulse/undg%C3%A5-identitetstyveri-g%C3%B8r-cpr-...

Jesper Springer Tirsdag, 5. september 2017 - 13:42

Re: Og hvad med de ramte?

Kim Jeg er helt enig, der er for meget pjat omkring cpr. nr. som om det var et hemmeligt nummer. Det er det ikke. For egen regning vil jeg så sige at, problemet ligger ikke i cpr men i de store datacentre som man er ved at opbygge på baggrund af ensretnings og effektiviserings politik. Det være sig i stat, regioner og kommuner. Det er her problemer begynder at opstå. Det helt misforstået at man skal kunne ved et enkelt nummer opslag fra en hacket database( og det bliver de) få fuld livs historik hvad angår skatteforhold, civile forhold, sygehistorie, økonomiske forhold og meget mere trukket ud og have mulighed for sammenkørelse ved f.eks cpr. Det er her den helt store forbrydelse foregår.

Denny Christensen Mandag, 11. september 2017 - 11:27

Re: Og hvad med de ramte?

De bøder i hvert fald EU har udstukket er tilflydt andre end de berørte - hvor det er forbrugere der er ramt. Men det ville da være passende at det enkelte individ modtager 'deres' del af bøde/erstatning. Upåagtet omkostninger ved dette som kunne lægges oveni bøden.

Om SKAT så vil beskatte...er en anden diskussion.

Gert Madsen Mandag, 11. september 2017 - 11:58

Re: Og hvad med de ramte?