Musikeres cpr-numre blotlagt af tudsegammelt it-system hos DR

Flere rettighedshaveres personoplysninger, herunder cpr-numre, har været frit tilgængelige på dr.dk.

Cpr-numre på flere rettighedshavere indenfor musik har ligget i DR's systemer på en måde, så enhver via internettet har kunnet tilgå personoplysningerne.

Det afslører Google-søgninger, som Version2 har foretaget.

»Det er desværre korrekt, at der er cpr-numre blandt data i de filer, som du har fundet. Vi har fundet navn, adresse og cpr-numre på i alt 6 personer i filerne,« oplyser underdirektør for DR Teknologi Mikkel Müller i en mail sendt via DR's presseafdeling til Version2.

»Det er vi rigtigt kede af, og vi har straks efter, at vi blev opmærksomme på problemet sørget for at fjerne filerne og undersøge, hvordan det kan være gået til.«

Personoplysningerne har ikke har kunnet søges frem direkte af besøgende via DR's hjemmeside, understreger Mikkel Müller. For at finde oplysningerne har det krævet »en scanning på tværs af sitet«, som han formulerer det.

Version2 opdagede de blotlagte personoplysninger i forbindelse med Google-søgninger, der oprindeligt ikke var rettet specifikt mod DR.

Har ikke været i drift siden 2006

Mikkel Müller forklarer, at filerne med personoplysningerne stammer fra et gammelt system, som DR har anvendt til at rapportere til rettighedshaverne af musik, hvilke titler og kunstnere der er afspillet i DR.

»Systemet har ikke været i drift siden ca. 2006, og de pågældende filer er dannet tilbage i 1999-2000, så vidt vi kan se. Vi må konstatere, af filerne ikke har været beskyttet ordentligt, og de er ikke blevet fjernet i forbindelse med nedlukning af systemet, formentlig på grund af en menneskelig fejl,« står der i det skriftlige svar fra Mikkel Müller.

Han fortæller, at det ikke er muligt at komme yderligere til bunds i sagen, da det er så længe siden, og at DR ikke længere har medarbejdere, som kender det pågældende system.

En længere periode

Det er uvist, hvor længe filerne har været tilgængelige fra internettet. Eksempelvis om der har været adgang til dem siden årtusindskiftet.

»Vi kan desværre ikke sige noget sikkert om, hvor længe de har været tilgængelige. Filerne er dannet i 1999-2000, og det gamle system til rettighedsrapportering er lukket omkring 2006. Vi kan ikke afdække, hvilken adgangskontrol der har været dengang. Filerne burde under alle omstændigheder være blevet fjernet, da systemet blev lukket,« fremgår det af det skriftlige svar fra Mikkel Müller.

Han konkluderer på den baggrund selv, at filerne har ligget tilgængelige fra internettet i en lang periode. Mikkel Müller gætter på, at filerne er blevet indekseret af Google, mens koda-gramex-systemet var aktivt, altså op til omkring 2006. Og derfor har personoplysningerne kunnet søges frem via Google.

Hos DR vil man nu se på, hvad der kan gøres for at undgå, at personoplysninger på den måde bliver blotlagte. Mikkel Müller fortæller, at det blandt andet indebærer en generel scanning af DR-servere tilgængelige fra internettet at sikre, at der ikke skulle være andre forekomster af problemet.

»Vi er meget kede af, at de pågældendes persondata har været at finde i de gamle filer, og vi tager straks kontakt med de berørte for at forklare dem om baggrunden og undskylde denne hændelse,« oplyser Mikkel Müller.

DR er i øvrigt gået over til et rettighedsrapporteringssystem kaldet RAP version 2. Systemet rapporterer til Koda og Gramex med en XML-rapport. Denne rapport indeholder ikke cpr-numre, og den er beskyttet med login, og overførsel er krypteret, oplyser Mikkel Müller.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Schulz

Det er bare et nummer. hvis nogen tror det har en reel værdi mere med så mange gange de har været lækket, så må de tro om igen.

CPR som sikker identifikation har været dødt i mindst 10 år og det er ufatteligt at der stadig er dette fokus på et ligegyldigt nummer som folk får tildelt ved fødslen.
Hvis viden om anden persons CPR nummer kan misbruges i en virksomhed af en slags, så er det virksomheden der har et problem og bør straffes - de har simpelthen bygget deres system på en for usikker løsning. De burde få daglige dummebøder indtil de fik fikset deres system.

  • 0
  • 0
Ebbe Skak Larsen

Ligesom "United Breaks Guitars!"?
Hvad med "DR leaks CPR!" på samme melodi... anyone? :-)

Nåmen, læringer:
- ryd op i gamle systemer - selvom det er kedeligt!
- overhold loven, også selvom det virker omsonst (med CPR).

Alternativ til ikke at overholde selv dårlige love - er jo anarki.

Men som Kim sagde... kan vi ikke snart holde op med at narre os selv med myten om "ekstra CPR"-sikkerhed, og bruge uendelige summer af penge på at beskytte og lovgive og retsforfølge over det emne? Og så i stedet bruge pengene, hvor de rent faktisk hjælper noget? Det kunne være rart!

Se evt. baggrundsartiklen: https://www.linkedin.com/pulse/undg%C3%A5-identitetstyveri-g%C3%B8r-cpr-...

  • 0
  • 0
Jesper Springer

Kim
Jeg er helt enig, der er for meget pjat omkring cpr. nr. som om det var et hemmeligt nummer. Det er det ikke.
For egen regning vil jeg så sige at, problemet ligger ikke i cpr men i de store datacentre som man er ved at opbygge på baggrund af ensretnings og effektiviserings politik.
Det være sig i stat, regioner og kommuner. Det er her problemer begynder at opstå.
Det helt misforstået at man skal kunne ved et enkelt nummer opslag fra en hacket database( og det bliver de) få fuld livs historik hvad angår skatteforhold, civile forhold, sygehistorie, økonomiske forhold og meget mere trukket ud og have mulighed for sammenkørelse ved f.eks cpr.
Det er her den helt store forbrydelse foregår.

  • 2
  • 0
Denny Christensen

De bøder i hvert fald EU har udstukket er tilflydt andre end de berørte - hvor det er forbrugere der er ramt. Men det ville da være passende at det enkelte individ modtager 'deres' del af bøde/erstatning. Upåagtet omkostninger ved dette som kunne lægges oveni bøden.

Om SKAT så vil beskatte...er en anden diskussion.

  • 0
  • 0
Log ind eller Opret konto for at kommentere