Hemmelige adresser lækket i CVR: Kan være spredt til tilfældige virksomheder

Illustration: the_lightwriter/Bigstock
Erhvervsstyrelsen lukkede i fredags for adgangen til det centrale virksomhedsregister, CVR, efter styrelsen ved en fejl havde offentliggjort persondata i registret og den tilhørende API.

Opdatering 4/2/2021 kl. 9:00: Emil Stahl modtog svar på sin mail til Erhvervsstyrelsen 2. februar efter interviewet med Version2. Mailen lød: »Jeg kan til din orientering oplyse, at du alene har modtaget underretning i din egenskab af bruger af systemet. Hvis du som registreret i CVR-databasen er omfattet af hændelsen, vil du modtage særskilt besked herom, så snart Erhvervsstyrelsen har haft lejlighed til at udforme en sådan.«

Erhvervsstyrelsen har ved en fejl lækket hemmelige adresser i CVR på Virk og i det offentligt tilgængelige API, som virksomheder bruger til automatisk at hente data fra CVR-databasen. Det viser en mail, som Erhvervsstyrelsen har sendt til virksomheder med API-adgang, som Version2 har set.

»Den utilsigtede offentliggørelse af personoplysninger i system-til-system løsningen er indtruffet onsdag d. 27. januar 2021 kl. 19.50 og stoppet igen fredag d. 29. januar 2021 kl. 11.00,« skrev Erhvervsstyrelsen i mailen til alle virksomheder med adgang til API’en fredag klokken tre.

Hvis virksomheder har hentet data fra API’et i den periode, hvor personoplysningerne har ligget åbent i virksomhedsregistret, risikerer de lækkede persondata nu at være lagret hos forskellige virksomheder.

Læs også: Datalæk hos Erhvervsstyrelsen vokser: 150.000 CPR-numre spredt til 3000 brugere

Emil Stahl har selv hemmelig adresse og har adgang til CVR-API’et via sit eget selskab.

»Hvis man som virksomhed har gemt data fra API’et lokalt, så kan de beskyttede adresser reelt være spredt i forskellige virksomheder nu,« siger han til Version2.

»Det må være slemt, når man lukker helt ned«

API’et giver adgang til at hente nye og historiske CVR-data, som Erhvervsstyrelsen har offentligjort. Løsningen giver brugere mulighed for at tilgå CVR-data fra egne systemer og gemme dem lokalt i stedet for at lave enkeltopslag på datacvr.virk.dk/data.

»Hvis du er en virksomhed, så kan du for eksempel bruge API’et til at slå CVR-numre op. Du kan hente data direkte fra CVR, også ubeskyttede adresser på direktionen og virksomhedens ejerkreds,« siger Emil Stahl.

Men i mailen, Erhvervsstyrelsen sendte til virksomhederne klokken tre i fredags, lyder det til, at også beskyttede adresser i nogle tilfælde har ligget åbent i databasen.

Datalækket betød, at Erhvervsstyrelsen i fredags måtte lukke helt ned for adgangen til CVR. Forsøgte man at gå ind på hjemmesiden, blev man mødt af en fejl.

»Det var meget mystisk, fordi de lukkede API’en og hjemmesiden. Det må være slemt, når man lukker helt ned,« siger Emil Stahl.

Radiotavshed fra Erhvervsstyrelsen

Emil Stahl forventer, at hans egen hemmelige adresse er omfattet af datalækket, fordi data fra hans eget selskab selvfølgelig indgår i virksomhedsregistret. Men hvis han ikke selv havde adgang til API’et, ville han ikke være klar over, at hans adresse potentielt er kompromitteret.

Erhvervsstyrelsen har nemlig endnu ikke udtalt sig om, hvad de har tænkt sig at gøre ved dem, der er påvirkede af datalækket, fortæller Emil Stahl. Han forsøgte at stille Erhvervsstyrelsen en række spørgsmål, efter han havde modtaget mailen om datalækket i fredags. Styrelsen har endnu ikke svaret, selvom de selv indbød til spørgsmål i mailen.

»Det er underligt, at vi ikke har fået mere information efterfølgende. Jeg synes, man kunne forvente mere af dem, for de er en offentlig myndighed, og de er selv tilsynsmyndighed, så man skulle antage, at de havde nogenlunde styr på data selv,« siger han.

adresseHemmelig = true

Erhvervsstyrelsen skriver i en pressemeddelelse fredag, at datalækket skyldes, at der er sket en fejl, mens nye data er blevet indlæst i databasen.

»Den utilsigtede offentliggørelse skyldes en fejl i forbindelse med indlæsningen af nye data. Der er ikke tale om hacking eller lignende, hvor tredjemand uberettiget har skaffet sig adgang til de pågældende oplysninger,« skriver Erhvervsstyrelsen i en pressemeddelelse.

»Der er virksomheder, som har lov til at hente data fra CVR-databasen, men fordi myndigheden er kommet til at stille data til rådighed, som ikke må stå til rådighed, så risikerer virksomheder at have lokale kopier af de hemmelige adresser. Og de data kan ligge en hel del forskellige steder nu,« siger Peter Brodersen, som har udviklet findvej.dk og arbejder som udvikler hos Septima, til Version2.

Peter Brodersen er en af dem, som har adgang til API’et. Han fik derfor også tilsendt mailen fra Erhvervsstyrelsen fredag og lagde den kort efter ud på Twitter. Erhvervsstyrelsen forklarer i mailen, hvilke felter i API’et der er omfattet af datalækket:

»Såfremt værdien "Vrvirksomhed.deltagerRelation.deltager.adresseHemmelig" er sat til ”true”, men der er indeholdt data under feltet "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse", bedes data indeholdt i "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse" slettet øjeblikkeligt fra egne systemer,« skriver Erhvervsstyrelsen.

»Jeg antager, at hvis adressen er hemmelig, vil beliggenhedsfeltet være tomt. Men her virker det, som om adressen står åbent i beliggenhedsfeltet, selvom adressen er hemmelig,« siger Peter Brodersen.

Også »forretningsnøgler« ser ud til at være lækket i databruddet.

Styrelsen fortæller i mailen, at der ikke findes »et lovhjemlet offentliggørelsesgrundlag« for de lækkede data, og at man som bruger af API’et bør fjerne de lækkede oplysninger, hvis man via API’et har hentet CVR-data mellem 27. januar 2021 klokken 19:50 og 29. januar 2021 klokken 11.00.

»Det betyder, at vi og alle andre virksomheder skal være opmærksomme. Hvis vi og alle andre med system-til-system-adgang henter al data dagligt, så kan det være, at vi nu risikerer at have data liggende i lokale databaser, som vi ikke må have liggende,« siger Peter Brodersen, som sammenligner sagen med CPR-lækket fra Robinson-listen i 2014.

Læs også: Sådan skete CPR-lækket: CSC blev rykket for Robinsonlisten og udleverede halvfærdig version med CPR-numre

Erhvervsstyrelsen har ikke ønsket at udtale sig om sagen til denne artikel. Styrelsen skrev i en pressemeddelelse i fredags, at de er ved at danne sig et samlet overblik over omfanget af datalækket og hvor mange personer, der er berørt. Datatilsynet bekræfter overfor Version2, at de har modtaget Erhvervsstyrelsens anmeldelse af datalækket 1. februar.

Version2 er i gang med at undersøge datalækkets omfang, og om der er lækket andet end hemmelige adresser og forretningsnøgler.

Illustration: Peter Brodersen
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 René Nielsen

Den brutale virkelighed er jo desværre at myndighederne igen har ”svinet” med vores data.

Problemet er jo ikke lokale data, problemet er at hemmelige data som f.eks. hemmelige adresser er sluppet ud! Jeg mener at skaden er irreversibel.

Bevares Erhvervsstyrelsen kan jo skrive ud og bede modtagerne om at slette de ulovligt modtage data, men hjælper det?

Mange af disse systemer er jo fuldautomatiske, så hvis f.eks. en bank via API’en modtager en hemmelig adresse på en kunde, så ryger disse data jo automatisk videre ind i f.eks. kreditvurderingsselskabets NIELSEN servere i USA som returner de services banken abonnerer på.

Det sker måske 10 min efter at Erhvervsstyrelsen udleverede de hemmelige data.

Problemet opstår hvis en anden bank abonnerer på services hos Nielsen i USA – så spredes den hemmelige adresse til alle kunder inkl. deres danske kunder.

Derover er det ikke ulovlig og de var i "god tro" og det at den hemmelige adresse nu ikke længere hemmelig – gør jo ikke deres services mindre værd!

Enhver virksomhed som har udviklet en API mener jo selv at de er berettiget til at indhente disse data om en tredjemand.

Jeg mener at man bør skrue vildt op for straffen for at krænke hemmelige adresser og indføre omvendt bevisbyrde.

  • 7
  • 0
#3 Nis Schmidt

Min "registerhemmelige" privatadresse har i mange år været frit tilgængelig på cvrvirk.dk.

IDA er ikke et hak bedre. I april modtog jeg en mail fra ida, hvor de opfordrede mig til at ændre "min status". fordi de "kunne se" at jeg havde arbejdet i udlandet, skønt jeg haft min nuværende adresse i over 20 år og det er over 28 år siden jeg har arbejdet i Frankrig. Selvom jeg fik en glimrende uddannelse i Digital (DEC) der, har siden kun haft ulønnet arbejde i DK og været timelønnet 5-10 timer om ugen fra 2007 t.o.m. 2014, som hjælpelærer DTU i mit fag. Jeg fik løn i 7 måneder (30timer/ugentlig) - indtil jeg tog ulønnet "forskningsorlov" i 8 mdr for at finde "en enkel metode til bedre SW-udnyttelse", som jeg fandt, men matematikken bag, virkede i overbevisende på mig dengang.

Tilbuddet om deling af min viden med læserne er stadg åbent, når det passer redaktionen på ing.dk / version2.dk at besvare mine mails ...

PS. Jeg har ikke modtaget nogen undskyldning i min e-boks endnu!

  • 2
  • 2
#4 Knud Larsen

Dk er slem til at diskriminere alle DK'er, der flirter med noget i udlandet.

Jeg blev chokeret over det modsatte i Frankrig i 70'erne. Tog man job hos ESA var det jo ikke sikkert, at mqn lige kunne komme tilbage til et job efter en tidsbegrænset opgave. men Frankrig tilbød garanati for et års løn, hvis man skulle være så uheldig. (Andre fohold kan selvfølgelig være anderledes det ved jeg ikke noget om. I øvrigt var hele EU og ESA overbestykket med enegelsk talende ude af proportioner med UK's deltagelse, der nu e r0)

  • 4
  • 0
#6 Nis Schmidt

Din adresse var synlig frem til februar 2019, hvor lovgivningen blev ændret. Den har altså ikke fremgået i CVR-registeret i to år.

Har du tjekket Emil? Jeg har - og den står der stadig. Gab, gab.

Jeg går på med PC/Win10/Edge. Nå, men i det mindste har jeg ikke haft gæld i mit nu for længst lukkede firma ;)

Det er dog trist, at DK stadig ikke har ordentligt styr på IT.

  • 2
  • 1
#7 Emil Stahl

Har du tjekket Emil? Jeg har - og den står der stadig. Gab, gab.

Nej, jeg slog dig ikke op. Tillod mig fejlagtigt at antage :)

Men så skal du da kontakte Erhvervsstyrelsen i morgen. Min egen - og alle jeg kender med beskyttelsen, har kun navn og land stående i CVR.

Bekræft evt med CPR registerindsigt at den er aktiv/indrapporteret:

Beskyttelse (nuværende)

Beskyttelse Indrapporteret Gældende fra Slettedato Navne- og adresse JA 11.06.2020 11.06.2030

https://www.borger.dk/Handlingsside?selfserviceId=4b84f72e-c05c-4f5b-90e...

  • 5
  • 0
#8 Jesper Valentin

Allerede i august 2019 informerede jeg Erhvervsstyrelsen om, at de inkluderede en hemmelig mailadresse i det offentligt tilgængelige API.

Dengang var det indholdet af feltet "ObligatoriskEmail", der var inkluderet med information om, at det var et hemmeligt felt.

Man skulle tro, at Erhvervsstyrelsen dengang var blevet opmærksomme på problematikken, så lignende ikke skete igen.

  • 2
  • 0
#10 Morten Jensen

Man kunne jo spørge sig selv om man har lyst til at handle med et firma hvis ejere ønsker at skjule sig. Men det har måske sin berettigelse.

Hej Leif,

Jeg vil tillade mig at gætte på, at du ikke har haft fornøjelsen af at drive virksomhed registreret fra din privatadresse, med dit privatnummer eller en privat email-adresse for nylig? Jeg synes personligt det har nået nye højder de sidste ti år oder so.

Med mindre man decideret fornøjer sig med spam/scam-opkald fra udlandet eller ved at få fyldt sin postkasse med alt muligt reklame-ragelse, så er det efter min mening et must at have beskyttet adresse og telefonnummer i én eller anden form.

Anekdote: Som privatperson kan man melde sig i Robinson-registeret. Derved bliver det ulovligt at få tilsendt uønsket spam. Politiet griner overbærende hvis man ringer for at anmelde det - mere ulovligt er det åbenbart heller ikke :(

  • 3
  • 0
#11 Bjørn Nedergaard Jensen

Anekdote: Som privatperson kan man melde sig i Robinson-registeret. Derved bliver det ulovligt at få tilsendt uønsket spam. Politiet griner overbærende hvis man ringer for at anmelde det - mere ulovligt er det åbenbart heller ikke :(

Angående din anekdote. Hvis du vil klage over brud på markedsføringensloven skal du kontakte forbrugerombudsmanden.

  • 1
  • 0
Log ind eller Opret konto for at kommentere