Hackergruppe advarer danske journalister: I afslører jeres børns CPR-numre

... at man i dagens (stats-IT) Danmark stadig ikke kan skelne mellem in identifikation og authentifikation. Hverken fødseldag eller fuld cpr-nummer bør give automatisk adgang eller mulighed til noget som helst!

Enklere løsning er at droppe det pjat med at CPR nummeret er hemmelig.

Præcis. Det er absurd at vores personlige ID nummer bliver opfattet som et slags medfødt password, som vi ikke kan ændre, og hvis det så bliver lækket, så er vi mere eller mindre fucked. I dag, hvor vi fx har NemID til at signere med, så bør der ikke være nogen undskyldning for at man kan gøre ting alene vha. viden om ens CPR nummer.

Altså de behøver ikke at offenliggøre dem alle, men det er absurd, at man skal oplyse det rigtig mange steder, men det er samtidig enormt hemmeligt.

Jeg havde en kollega engang med klæbehjerne som kunne de flestes nummerplader og også CPR numre, når folk lige ringede til lægen og snakkede lidt for højt. Det kan jo næsten ikke undgås at det bliver spredt igennem ens livstid.

Enklere løsning er at droppe det pjat med at CPR nummeret er hemmelig. Selv bor jeg i Sverige og her er personnummeret offentligt ikke noget med at ingen må se det og dem med persondata i det.. mit fødselsår, dato og måned fremgår af det desuden hvor i Sverige man er født og hvilken køn man er.( ikke om man er køn eller ej) Så den "undskylding med persondata og EU er åbenbart ikke gældende i Sverige. Desuden kan du med et svensk perrson nummer finde vedkommendes addresse, skatte oplysninger m.m. Så kan på ingen måde se hvorfor det ikke skulle kunne lade sig gøre i DK?...

Det oplevede jeg da jeg gik på DTU. Alle eksamensresultater blev hængt op på grædemuren på Sletten og de var alle påført CPR nummer. Det fik de vist heldigvis rettet et par år efter

Vores studiesekretær på basisåret havde fået den gode idé at fortælle hvordan folks skriftlige eksamen var gået ved at hænge sedler på tavlen med samtlige studerendes CPR numre og resultater.

Tror jeg har set mit CPR-nummer hænge en gang eller to på "grædemuren" efter en eksamen. Dog uden de sidste 4 ciffre.

Men de gik heldigvis over til årskortnummer, som er blot årstal for studieoptagelse + fortløbende serienummer, så her var det noget mere begrænset hvad man kan bruge denne information til.

... og sidenhen forsvandt resultater fra væggen fordi, nu kunne man tjekke svaret på ens online under oversigten over de kurser, man havde taget i løbet af studietiden.

Vores studiesekretær på basisåret havde fået den gode idé at fortælle hvordan folks skriftlige eksamen var gået ved at hænge sedler på tavlen med samtlige studerendes CPR numre og resultater.

Så kunne man indvende at der ikke stod navne på sedlen.. .. .. men lur mig om ikke vi vidste hvem der havde fødselsdag ca. hvornår, da vi nåede til eksamenstiden, og sedlerne var grupperet i studieretninger, hvor der oftest max er 80 studerende i hver..

Så de fleste kunne læse listen, sjusse sig til hvem der havde hvilket cpr nummer, og så se hvordan de havde klaret alle fagene.

Der blev bestilt mange abonnementer på gratisting.dk det år. Personligt blev jeg udsat for et abonnement på "vågn op", der var ret svært at afmelde igen da det ikke var min email adresse der havde meldt mig til..

(1 år på tek/nat anno 2005, var næsten ens for alle linjer så man kunne sadle om rimelig problemfrit, og hed basisåret)

Ihvertfald må man sige, at det virker ret fantasiløst ikke at prøve at skanne sit eget kort, når nu selvsamme journalister render rundt med en håndholdt scanner (smartphone)...

God weekend

apropos AAU Det er heldigvis ændret for lang tid siden. Idag er der andre boller på suppen

De havde sjovt nok også den holdning at alt Wi-Fi og alle ethernet stik i væggene er usikre, så her var der krav til VPN opkobling uanset hvad du skulle have fat i.

Øhh ja?

Der skal da ikke det store til at lede din trafik forbi en anden maskine, som så kigger med inden det sendes til destinationen.

Har selv haft det kørende til debugging et par steder. Peace of cake, hvis ikke nettet er sikre med det.

/Henning

som selv i dag ville overholde alle krav til stærkt password.</p>
<p>I ved minimum 10 tegn, både store og små bogstaver + andre tegn.

Den var ikke gået her, hos os er min. password længden ændret til 20 tegn, for at få brugere til bruge pass phrases istedet for passwords, det ser ud til det er det der generelt bliver anbefalet nu om dage, der er ingen maks password age, istedet kan "systemet/azure" på hvilket som helst tidspunkt kræve password skiftes hvis den opdager der er større risiko, ved den måde tingene bliver brugt på / fra, specielt på high risk konti.

Min kammerat som opdagede problemet gjorde IT personalet opmærksom på, men fik kun en mail tilbage der sagde noget i stil med "hold din næse udenfor, og lad vær med at blande dig".

Gik din kammerat på datalogi...?

Da jeg startede på datalogi i Aarhus i 2003, fik jeg ellers en kode af IT-afdelingen, som selv i dag ville overholde alle krav til stærkt password.

I ved minimum 10 tegn, både store og små bogstaver + andre tegn.

De havde sjovt nok også den holdning at alt Wi-Fi og alle ethernet stik i væggene er usikre, så her var der krav til VPN opkobling uanset hvad du skulle have fat i.

men nok en ny erkendelse for nogen. En kollega, der rodede med stregkoder, fik for et par år siden den indskydelse at scanne nogle slørede sygesikringsbeviser (sundhedskort) på nettet. De fleste kunne sagtens læses. Jeg mener, at jeg skrev til en journalist om problemet, men der skete aldrig mere.

En løsning var, at Indenrigsministeriet lavede nogle gratis fotos med fiktive sundhedskort (det har de måske allerede). Det rydder så ikke op på WWW.

På AAU var vores default password til intra/studie-nettet ens password med et punktum foran og bagefter. Man blev opfordret til at ændre det... men i ved hvordan det går. Hver gang at man loggede ind, så blev beskeden sendt på det lokale netværk i klartekst. Så da vi sad med en sniffer (relevant for vores projekt) så kunne vi pludselig se en masse folks CPR numre samt deres fornavn som indgik i deres brugernavn.

Min kammerat som opdagede problemet gjorde IT personalet opmærksom på, men fik kun en mail tilbage der sagde noget i stil med "hold din næse udenfor, og lad vær med at blande dig".

Stregkoden på mit gamle studiekort, var ganske enkelt bare mit CPR-nummer. Det tog ikke mange sekunder at hente en tilfældig barcode-scanner, på app Store, og så havde jeg mit eget CPR-nummer i plain text...

afslører journalisters generelle uvidenhed og siger noget om hvor ringe journalistikken er blevet.