Danske CPR-numre sat til salg på nettet

Illustration: Virrage Images/Bigstock
OPDATERET: Mareridtsscenariet kan være blevet virkelighed: Anonyme personer tilbyder at sælge udtræk fra CPR-registret. Sikkerhedsekspert kan dog ikke bekræfte historien.

Det, der indtil i dag har været omtalt som mareridtsscenariet i CPR-sammenhæng, kan vise sig at være blevet virkelighed.

Unavngivne personer har i en mail til Version2 linket til en side på nettet, hvor man mod betaling i den digitale valuta Bitcoins angiveligt kan købe sig nærmere angivne informationer fra CPR-registret. Det har ikke været muligt for Version2 at få bekræftet, at bagmændene rent faktisk er i besiddelse af de omtalte data, men vi vælger alligevel at omtale nyheden, da det i givet fald er en yderst alvorlig sag.

Nyheden kommer i kølvandet på torsdagens store nyhed om, at hackere har tiltvunget sig adgang til politiets kørekortregister, hvor informationer om flere millioner CPR-numre også ligger gemt.

Læs også: Rigspolitiet: Kørekort-register hos CSC er blevet hacket

For eksempel skulle det være muligt ud fra et fuldt navn at få oplyst det tilhørende CPR-nummer, ligesom den omvendte handling fra CPR-nummer til navn skulle være mulig.

Endnu værre er det dog, at bagmændene tilbyder decideret identitetstyveri i deres katalog over udbudte services

»Hvis du ønsker en særlig service som for eksempel at erhverve en identitet med et bestemt navn og fødselsdato, så giv os besked, og vi finder ud af noget,« skriver bagmændene på hjemmesiden.

Endelig tilbyder folkene bag tjenesten, at man mod betaling kan blive fjernet fra listen.

»Få en person (dig selv for eksempel?) fjernet fra vores katalog. Du leverer den identificerende information, og vi fjerner det pågældende individ fra vores katalog,« lyder endnu et af tilbudene.

Læs også: Tidslinje: CSC-hackersagen

Annoncen for det komplette danske CPR-register kan dog meget vel være for god til at være sand, vurderer sikkerhedsekspert:

»Jeg vil tro, at der er 80 procents chance for, at det er fup. Vi ser tit den slags komme i kølvandet på datatyverier, der trækker store overskrifter. De ved, at journalisternes øjne følger med,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.

Det er især timingen, der ifølge Peter Kruse vækker mistanke.

»De må have haft de her data i hænderne i mange måneder, så det virker ulogisk at sætte dem til salg nu,« siger Peter Kruse.

Version2 har forsøgt at kontakte personerne bag for at få verificeret oplysningerne. Dette er dog endnu ikke lykkedes.

OPDATERET 19.34: Personerne bag tjenesten har nu meldt tilbage til Version2. De understreger, at det er en misforståelse, at de har en kopi af hele CPR-registret. Omvendt kan de dog ikke sige noget om, hvor stor en del der så er tale om.

De fortæller videre, at dataene ikke er relateret til den aktuelle sag om hacking af politiets kørekortregister, og at motivet for at lægge siden online nu er, at CPR-systemets fremtid en gang for alle bliver taget op til debat.

For at kunne verificere, at deres påstande holder vand, har Version2 spurgt, om de kunne fremskaffe redaktørens CPR-nummer. Under henvisning til, at der ikke er tale om et komplet udtræk, meddeler bagmændene, at de ikke har det efterspurgte CPR-nummer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Søren Mikkelsen

Den ene skandale efter den anden, CSC har vist sig at være en flok amatøre fra top til bund som bestemt aldrig burde have fået ansvaret for vores personlige data, det har folk i IT verden vidst i flere år nu, gad vide hvor længe der går før staten ser røgen, 5-6 år endnu?

  • 18
  • 2
Søren Mikkelsen

Jeg har ikke et kørtkort, men jeg vil mene at enhver med et kørekort vil kunne sagsøge den Danske stat for ikke at opretholde en fornuftig sikkerhed omkring borgernes personlige data, jeg har faktisk svært ved at se hvordan denne sag skulle kunne tabes da der allerede har været flere indbrud i den Danske stats systemer og at der ingen tvivl om er at de alle kunne have været forhindret af et barn på 11 år med sine læsefærdigheder i orden.

Det er pinligt at være Dansker !!!

  • 3
  • 4
Claus Waldersdorff Knudsen

Når man nemt kan generere sit "eget" CPR-nummerkatalog. Det kan vist ikke tage mange timer at skrive en stump kode der genererer samtlige modulus-11 gyldige CPR-numre og gemme dem i en fil der er frit tilgængelig på nettet. Der er vist kun ca 20mill numre ialt, svarende til ~220Mbyte unzipped. Og filen kan jo altid navngives som en .jpg fil for at skjule indholdet;-) Hvem kommer først?

(Ja, ja, jeg ved godt at det første kontrolciffer vist nok skal være bestemt af århundredet og at der findes andre mærkværdigheder for at det skal være et fuldgyldigt nummer; men hvem tjekker de detaljer, når der i forvejen er uddelt numre der IKKE overholder modulus-11 kravet? :-)

God weekend.

  • 1
  • 2
Hans Schou

Nu er lejligheden for Margrethe Vestager (R) (MV) til offentlige en liste med alle CPR-numre og navne, således at de kriminelle ikke kan udnytte CPR-data. Fjern deres indtægtsgrundlag.

MV har også tidligere udtalt at CPR-nummer ikke er hemmelige, men blot at sammenligne med et journalnummer.

Sådan. Offentliggør alle CPR-numre, og gør pengeudlånere og læger opmærksom på, at blot fordi nogen kender et CPR-nummer, er det ikke ensbetydende at det er den person de taler i telefon med.

  • 17
  • 1
Maciej Szeliga

...burde man med det samme forbyde brug af CPR-nr. alene til identifikation og kræve helt automatisk enten pas eller kørekort indtil et bedre system er indført. Ikke noget med "kun dem der var i registret" (for der kan være individer som er blevet slettet) eller "kun dem som selv vil have det"... ALLE.

  • 5
  • 1
preben nielsen

Så kan vi måske endelig få rettet op på situationen således at CPR-nr bruges til IDENTIFIKATION, ikke til DOKUMENTATION - som det oprindelig blev designet ! CPR-numre bør ikke være hemmelige, for de bør ikke kunne bruges til andet end at skelne personer fra hinanden.

At der samtidig er blevet stjålet andre informationer om personerne bag disse CPR-numre er derimod yderst kedeligt, men meddelelsen fra CPR_DB tyder ikke på, at de ligger inde med meget. Nogen bør kontakte dem og se, hvad de tilbyder....

  • 5
  • 0
Asbjørn Jensen

Alle synes at det er de skadelidte, der skal bære byrden. Var det ikke meget rimeligt at de firmaer / myndigheder der har sløset med sikkerheden der blev gjort ansvarlige FX erstatningsansvar til brugere, kontraktbøder, tab af bonus. Og allerhelst med et objektivt ansvar med minimumsbeløb, der sparede individuel opgørelse for de fleste.

  • 4
  • 0
Jens loggo

Det eneste problem, er da at man kan gøre så meget som man kan, kun ved at kende en persons CPR nummer.

CPR numre har aldrig være hemlige. Man viser sit sygesikringskort alle steder, og oplyser sit CPR nummer i telefon og i det hele taget overalt, både til det offentlige og til private firmaer.

Et CPR nummer bør aldrig ses som andet end et uniks brugernummer.

  • 12
  • 2
Peter Rosenberg

Til David. Du havde vel ikke regnet med at offentlige registre generelt tillader Søgerobotter. Så er du godt nok naiv. Går ud fra du er fra den digitale generation- har du ikke tænkt på at prøve: http://borger.dk Den eneste URL du skal huske i Danmark, måske bortset fra danmark.dk. Og hold så op med at over-simplificere problemstillingerne Jer andre. Har Jer der ønsker papir-baserede systemer, jeres dåbsattest ? Hvis ikke kan I ikke dokumentere i er født i Danmark, og så starter balladen dérfra.

  • 3
  • 3
Steen Petersen

I gamle dage hed jeg Steen Petersen og var født 10. maj 1954. Nu hedder jeg 100554-xxxx. Ligegyldigt, hvem jeg skal i kontakt med, så skal jeg oplyse 100554-xxxx før vi kan komme videre. Hvis vi skal forbedre systemet lidt, så lad os da for pokker få skudt en chip ind ligesom man har gjort på hunde, katte og heste i lang tid. Men det skal være af den type, der ikke kan reprogrammeres - ellers oplever man lige pludselig at stå i køen ved kassen i supermarkedet og have fået ny identitet, fordi en eller anden knægt leger med en app på sin IPhone.

Og til grammatikken og de sproglige udfoldelser i artiklens overskrift: "Hele Danmarks CPR-register sat til salg på nettet?" Journalister er nogle r..huller ! De holder sig ikke til at viderebringe information skrevet i et sprog, så menigmand kan blive klogere og holde sig opdateret. De vil med djævlens vold og magt skabe sensationer...!

Overskriften kan enten skrives: "Hele Danmarks CPR-register sat til salg på nettet !" Dette er en konstatering, der dog endnu ikke er belæg for. Alternativt: "Er hele Danmarks CPR-register sat til salg på nettet ?" Dette er et spørgsmål, som læserne så måske kan svare på.

Alt andet er noget bullshit, som ikke tjener halv- og helseriøse medier...!

  • 4
  • 0
Tore Green

@Claus

Hvorfor købe?

Når man nemt kan generere sit "eget" CPR-nummerkatalog

Når CPR bruges til at "verificere" hvem du er, er det som regel nødvendigt også at kende navnet på personen. Den sammenhæng mangler i dit hjemmelavede register.

I øvrigt bruger man ikke modulo-11-kontrollen længere da visse datoer løb tør for gyldige numre.

  • 2
  • 0
Kristian Klausen

I øvrigt bruger man ikke modulo-11-kontrollen længere da visse datoer løb tør for gyldige numre.

Nye CPR-numre overholder stadig modulus-11 kontrollen, det er kun hvis der er behov for mere end 540 numre (270 til hvert køn) på en dato at man afviger, og udsteder CPR-numre som ikke overholder modulus-11 kontrollen.

http://www.cpr.dk/cpr_artikler/Files/Fil1/4225.pdf side 3

  • 3
  • 1
Mikael Ibsen

CPI, Civil Person Identificering, og når det så er blevet hacket, så laver vi et andet nyt system etc. etc. Man kan også lave en discountløsning, hvor man sætter 2 eller flere cifre på det eksisterende CPR-nummer, hver gang det er gået galt. Det ender jo nok med nogen temmelig lange numre, men det må befolkningen se at lære at finde ud af. IT-systemer og hackning er uadskilleige størrelser, så længe der er nogen, som føler sig udfordret af lukkede døre, og det kan ingen systemer ændre på. Hackere er optændt af den hellige ild, og går ikke hjem, før opgaven er løst, heller ikke, hvis det bliver senere end kl. 16.00. Den eneste varige løsning på personregistrering/identifikation, jeg kan se, er biometriske data, der som bekendt er uløselig forbundet med det enkelte individ, og som ikke kan antages af andre personer. Denne løsning kræver selvfølgelig, at man møder op personligt, hver gang myndighederne har brug for at vide, at man er man, men sammen med et andet fantastisk vellykket offentligt IT-projekt, Rejsekortet, kan det jo aldrig være et problem...

  • 1
  • 3
lArs hAnsen

I øvrigt bruger man ikke modulo-11-kontrollen længere da visse datoer løb tør for gyldige numre.

Modulo kontrollen bruges stadig, og der er kun udstedt 18 cprnumre uden modulus kontrol. De er alle udstedt til mænd "født" den 1.1.1965 eller 1.1.1966. Bemærk dog at de næppe er født den 1.1 men fordi man ikke har vidst hvornår de er født, har man tildelt dem et fiktivt cprnummer den 1.1. Man kunne lige så godt have givet dem en dato den 2.1, men i stedet for at vælge den pragmatiske måde, besluttede man at nedlægge en ellers velfungerende modulus kontrol og påføre samfundet enorme udgifter med at sikre at systemer som tager imod cpr-numre ikke længere forlanger modulus kontrollen opført. I sammen omfang har man sikkert også påført de 18 mænd store gener med at skulle forklare at deres cprnummer altså er korrekt selvom det ikke opfylder modulus kontrollen.

  • 4
  • 2
Frank Pedersen

Tjaee.. og hvem skulle have troet at de 350.000 danskere i RKI, rent faktisk en dag skulle stå bedre stillet rent sikkerheds mæssigt, end dem der frit kan låne penge på sit blege ansigt og sit cpr nummer.. eller en anden's cpr nummer :-/

Nu er jeg ikke sikkerhedsmand, og måske er der bare mig der tænker helt lav praktisk, men burde der ikke eksistere et helt sekundær isoleret system/database hvor alle Danskere registeres og hvor der SKAL tjekkes ind imod hver gang man skal bruge sit cpr nummer? Ikke kun til når der skal lånes penge, men også til småting som at købe rejsekort mv. Man kunne inddele det i sikkerheds grupper af forskellig grader, så kan der åbnes og lukkes efter behov, hvis man fx. mener at have været udsat for person data tyveri. Der må da være mange måder at kunne gøre det bedre på, men som jeg forstår det, så hjælper det pt. ikke meget at ringe til folkeregisteret og sige at man har mistanke om at der er nogen der bruger ens cpr nummer. Hvad kan de gøre ved det??

  • 0
  • 0
Log ind eller Opret konto for at kommentere