Hackergruppe advarer danske journalister: I afslører jeres børns CPR-numre

15 kommentarer.  Hop til debatten
Hackergruppe advarer danske journalister: I afslører jeres børns CPR-numre
Illustration: kalmarunionen.
Journalister har i de seneste dage lagt delvist slørede billeder af sygesikringskort på nettet som illustration til artikler. Det er en dårlig ide, lyder det fra danske hackere.
4. juni 2021 kl. 09:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

De sidste par dage har alle Danmarks medier skrevet historier om den nye sundhedskort-app. Det har skabt et pludseligt behov for billeder af gule sundhedskort, som journalister over hele landet på bedste problemknuser-vis selv har taget.

For ikke at afsløre deres fulde CPR-nummer, har journalisterne holdt fingeren over dele af kortet, oftest de sidste fire cifre af CPR-nummeret. De kerer sig nemlig om deres personlige data.

Problemet er bare, at det er en yderst halvhjertet sløring, for stregkoden er blottet.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
15 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
15
8. juni 2021 kl. 11:47

... at man i dagens (stats-IT) Danmark stadig ikke kan skelne mellem in identifikation og authentifikation. Hverken fødseldag eller fuld cpr-nummer bør give automatisk adgang eller mulighed til noget som helst!

14
7. juni 2021 kl. 13:13

Enklere løsning er at droppe det pjat med at CPR nummeret er hemmelig.

Præcis. Det er absurd at vores personlige ID nummer bliver opfattet som et slags medfødt password, som vi ikke kan ændre, og hvis det så bliver lækket, så er vi mere eller mindre fucked. I dag, hvor vi fx har NemID til at signere med, så bør der ikke være nogen undskyldning for at man kan gøre ting alene vha. viden om ens CPR nummer.

Altså de behøver ikke at offenliggøre dem alle, men det er absurd, at man skal oplyse det rigtig mange steder, men det er samtidig enormt hemmeligt.

Jeg havde en kollega engang med klæbehjerne som kunne de flestes nummerplader og også CPR numre, når folk lige ringede til lægen og snakkede lidt for højt. Det kan jo næsten ikke undgås at det bliver spredt igennem ens livstid.

13
7. juni 2021 kl. 09:41

Enklere løsning er at droppe det pjat med at CPR nummeret er hemmelig. Selv bor jeg i Sverige og her er personnummeret offentligt ikke noget med at ingen må se det og dem med persondata i det.. mit fødselsår, dato og måned fremgår af det desuden hvor i Sverige man er født og hvilken køn man er.( ikke om man er køn eller ej) Så den "undskylding med persondata og EU er åbenbart ikke gældende i Sverige. Desuden kan du med et svensk perrson nummer finde vedkommendes addresse, skatte oplysninger m.m. Så kan på ingen måde se hvorfor det ikke skulle kunne lade sig gøre i DK?...

12
7. juni 2021 kl. 08:35

Det oplevede jeg da jeg gik på DTU. Alle eksamensresultater blev hængt op på grædemuren på Sletten og de var alle påført CPR nummer. Det fik de vist heldigvis rettet et par år efter

11
6. juni 2021 kl. 10:34

Vores studiesekretær på basisåret havde fået den gode idé at fortælle hvordan folks skriftlige eksamen var gået ved at hænge sedler på tavlen med samtlige studerendes CPR numre og resultater.

Tror jeg har set mit CPR-nummer hænge en gang eller to på "grædemuren" efter en eksamen. Dog uden de sidste 4 ciffre.

Men de gik heldigvis over til årskortnummer, som er blot årstal for studieoptagelse + fortløbende serienummer, så her var det noget mere begrænset hvad man kan bruge denne information til.

... og sidenhen forsvandt resultater fra væggen fordi, nu kunne man tjekke svaret på ens online under oversigten over de kurser, man havde taget i løbet af studietiden.

10
5. juni 2021 kl. 23:37

Vores studiesekretær på basisåret havde fået den gode idé at fortælle hvordan folks skriftlige eksamen var gået ved at hænge sedler på tavlen med samtlige studerendes CPR numre og resultater.

Så kunne man indvende at der ikke stod navne på sedlen.. .. .. men lur mig om ikke vi vidste hvem der havde fødselsdag ca. hvornår, da vi nåede til eksamenstiden, og sedlerne var grupperet i studieretninger, hvor der oftest max er 80 studerende i hver..

Så de fleste kunne læse listen, sjusse sig til hvem der havde hvilket cpr nummer, og så se hvordan de havde klaret alle fagene.

Der blev bestilt mange abonnementer på gratisting.dk det år. Personligt blev jeg udsat for et abonnement på "vågn op", der var ret svært at afmelde igen da det ikke var min email adresse der havde meldt mig til..

(1 år på tek/nat anno 2005, var næsten ens for alle linjer så man kunne sadle om rimelig problemfrit, og hed basisåret)

9
5. juni 2021 kl. 08:55

Ihvertfald må man sige, at det virker ret fantasiløst ikke at prøve at skanne sit eget kort, når nu selvsamme journalister render rundt med en håndholdt scanner (smartphone)...

God weekend

8
4. juni 2021 kl. 17:05

apropos AAU Det er heldigvis ændret for lang tid siden. Idag er der andre boller på suppen

6
4. juni 2021 kl. 14:06

som selv i dag ville overholde alle krav til stærkt password.</p>
<p>I ved minimum 10 tegn, både store og små bogstaver + andre tegn.

Den var ikke gået her, hos os er min. password længden ændret til 20 tegn, for at få brugere til bruge pass phrases istedet for passwords, det ser ud til det er det der generelt bliver anbefalet nu om dage, der er ingen maks password age, istedet kan "systemet/azure" på hvilket som helst tidspunkt kræve password skiftes hvis den opdager der er større risiko, ved den måde tingene bliver brugt på / fra, specielt på high risk konti.

5
4. juni 2021 kl. 13:41

Min kammerat som opdagede problemet gjorde IT personalet opmærksom på, men fik kun en mail tilbage der sagde noget i stil med "hold din næse udenfor, og lad vær med at blande dig".

Gik din kammerat på datalogi...?

Da jeg startede på datalogi i Aarhus i 2003, fik jeg ellers en kode af IT-afdelingen, som selv i dag ville overholde alle krav til stærkt password.

I ved minimum 10 tegn, både store og små bogstaver + andre tegn.

De havde sjovt nok også den holdning at alt Wi-Fi og alle ethernet stik i væggene er usikre, så her var der krav til VPN opkobling uanset hvad du skulle have fat i.

4
4. juni 2021 kl. 13:10

men nok en ny erkendelse for nogen. En kollega, der rodede med stregkoder, fik for et par år siden den indskydelse at scanne nogle slørede sygesikringsbeviser (sundhedskort) på nettet. De fleste kunne sagtens læses. Jeg mener, at jeg skrev til en journalist om problemet, men der skete aldrig mere.

En løsning var, at Indenrigsministeriet lavede nogle gratis fotos med fiktive sundhedskort (det har de måske allerede). Det rydder så ikke op på WWW.

3
4. juni 2021 kl. 12:13

På AAU var vores default password til intra/studie-nettet ens password med et punktum foran og bagefter. Man blev opfordret til at ændre det... men i ved hvordan det går. Hver gang at man loggede ind, så blev beskeden sendt på det lokale netværk i klartekst. Så da vi sad med en sniffer (relevant for vores projekt) så kunne vi pludselig se en masse folks CPR numre samt deres fornavn som indgik i deres brugernavn.

Min kammerat som opdagede problemet gjorde IT personalet opmærksom på, men fik kun en mail tilbage der sagde noget i stil med "hold din næse udenfor, og lad vær med at blande dig".

2
4. juni 2021 kl. 11:50

Stregkoden på mit gamle studiekort, var ganske enkelt bare mit CPR-nummer. Det tog ikke mange sekunder at hente en tilfældig barcode-scanner, på app Store, og så havde jeg mit eget CPR-nummer i plain text...

1
4. juni 2021 kl. 11:14

afslører journalisters generelle uvidenhed og siger noget om hvor ringe journalistikken er blevet.