Opdatering 4/2/2021 kl. 9:00: Emil Stahl modtog svar på sin mail til Erhvervsstyrelsen 2. februar efter interviewet med Version2. Mailen lød: »Jeg kan til din orientering oplyse, at du alene har modtaget underretning i din egenskab af bruger af systemet. Hvis du som registreret i CVR-databasen er omfattet af hændelsen, vil du modtage særskilt besked herom, så snart Erhvervsstyrelsen har haft lejlighed til at udforme en sådan.«
Erhvervsstyrelsen har ved en fejl lækket hemmelige adresser i CVR på Virk og i det offentligt tilgængelige API, som virksomheder bruger til automatisk at hente data fra CVR-databasen. Det viser en mail, som Erhvervsstyrelsen har sendt til virksomheder med API-adgang, som Version2 har set.
»Den utilsigtede offentliggørelse af personoplysninger i system-til-system løsningen er indtruffet onsdag d. 27. januar 2021 kl. 19.50 og stoppet igen fredag d. 29. januar 2021 kl. 11.00,« skrev Erhvervsstyrelsen i mailen til alle virksomheder med adgang til API’en fredag klokken tre.
Hvis virksomheder har hentet data fra API’et i den periode, hvor personoplysningerne har ligget åbent i virksomhedsregistret, risikerer de lækkede persondata nu at være lagret hos forskellige virksomheder.
Emil Stahl har selv hemmelig adresse og har adgang til CVR-API’et via sit eget selskab.
»Hvis man som virksomhed har gemt data fra API’et lokalt, så kan de beskyttede adresser reelt være spredt i forskellige virksomheder nu,« siger han til Version2.
»Det må være slemt, når man lukker helt ned«
API’et giver adgang til at hente nye og historiske CVR-data, som Erhvervsstyrelsen har offentligjort. Løsningen giver brugere mulighed for at tilgå CVR-data fra egne systemer og gemme dem lokalt i stedet for at lave enkeltopslag på datacvr.virk.dk/data.
»Hvis du er en virksomhed, så kan du for eksempel bruge API’et til at slå CVR-numre op. Du kan hente data direkte fra CVR, også ubeskyttede adresser på direktionen og virksomhedens ejerkreds,« siger Emil Stahl.
Men i mailen, Erhvervsstyrelsen sendte til virksomhederne klokken tre i fredags, lyder det til, at også beskyttede adresser i nogle tilfælde har ligget åbent i databasen.
Datalækket betød, at Erhvervsstyrelsen i fredags måtte lukke helt ned for adgangen til CVR. Forsøgte man at gå ind på hjemmesiden, blev man mødt af en fejl.
»Det var meget mystisk, fordi de lukkede API’en og hjemmesiden. Det må være slemt, når man lukker helt ned,« siger Emil Stahl.
Radiotavshed fra Erhvervsstyrelsen
Emil Stahl forventer, at hans egen hemmelige adresse er omfattet af datalækket, fordi data fra hans eget selskab selvfølgelig indgår i virksomhedsregistret. Men hvis han ikke selv havde adgang til API’et, ville han ikke være klar over, at hans adresse potentielt er kompromitteret. 29/01/ 2021 kl. 10:30: Første mail 29/01/ 2021 kl. 15:00: Anden mail 30/01/ 2021 kl. 19:45: Tredje mail Kilde: Peter Brodersen.Tre mails
»Erhvervsstyrelsen oplever pt. tekniske udfordringer med system-til-system adgangen til CVR-data, der resulterer i at samtlige brugere bliver mødt af en http 401 Authorization Required fejl. Der arbejdes på højtryk for at udbedre fejlen, og i hører nærmere når det er udbedret. Tidshorisonten er pt. ukendt.«
Erhvervsstyrelsens anden mail fortæller virksomheder med adgang til API'et, at der er sket en utilsigtet offentliggørelse af personoplysninger. Læs hele mailen nederst i artiklen.
»Du modtager denne mail som opfølgning på de forrige mails vedr. driftsstatus på system-til-system adgang til CVR-data. Erhvervsstyrelsen har nu løst den tidligere beskrevne hændelse, og Jeres brugeradgang er derfor blevet etableret igen.«
Erhvervsstyrelsen har nemlig endnu ikke udtalt sig om, hvad de har tænkt sig at gøre ved dem, der er påvirkede af datalækket, fortæller Emil Stahl. Han forsøgte at stille Erhvervsstyrelsen en række spørgsmål, efter han havde modtaget mailen om datalækket i fredags. Styrelsen har endnu ikke svaret, selvom de selv indbød til spørgsmål i mailen.
»Det er underligt, at vi ikke har fået mere information efterfølgende. Jeg synes, man kunne forvente mere af dem, for de er en offentlig myndighed, og de er selv tilsynsmyndighed, så man skulle antage, at de havde nogenlunde styr på data selv,« siger han.
adresseHemmelig = true
Erhvervsstyrelsen skriver i en pressemeddelelse fredag, at datalækket skyldes, at der er sket en fejl, mens nye data er blevet indlæst i databasen.
»Den utilsigtede offentliggørelse skyldes en fejl i forbindelse med indlæsningen af nye data. Der er ikke tale om hacking eller lignende, hvor tredjemand uberettiget har skaffet sig adgang til de pågældende oplysninger,« skriver Erhvervsstyrelsen i en pressemeddelelse.
»Der er virksomheder, som har lov til at hente data fra CVR-databasen, men fordi myndigheden er kommet til at stille data til rådighed, som ikke må stå til rådighed, så risikerer virksomheder at have lokale kopier af de hemmelige adresser. Og de data kan ligge en hel del forskellige steder nu,« siger Peter Brodersen, som har udviklet findvej.dk og arbejder som udvikler hos Septima, til Version2.
Peter Brodersen er en af dem, som har adgang til API’et. Han fik derfor også tilsendt mailen fra Erhvervsstyrelsen fredag og lagde den kort efter ud på Twitter. Erhvervsstyrelsen forklarer i mailen, hvilke felter i API’et der er omfattet af datalækket:
»Såfremt værdien "Vrvirksomhed.deltagerRelation.deltager.adresseHemmelig" er sat til ”true”, men der er indeholdt data under feltet "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse", bedes data indeholdt i "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse" slettet øjeblikkeligt fra egne systemer,« skriver Erhvervsstyrelsen.
»Jeg antager, at hvis adressen er hemmelig, vil beliggenhedsfeltet være tomt. Men her virker det, som om adressen står åbent i beliggenhedsfeltet, selvom adressen er hemmelig,« siger Peter Brodersen.
Også »forretningsnøgler« ser ud til at være lækket i databruddet.
Styrelsen fortæller i mailen, at der ikke findes »et lovhjemlet offentliggørelsesgrundlag« for de lækkede data, og at man som bruger af API’et bør fjerne de lækkede oplysninger, hvis man via API’et har hentet CVR-data mellem 27. januar 2021 klokken 19:50 og 29. januar 2021 klokken 11.00.
»Det betyder, at vi og alle andre virksomheder skal være opmærksomme. Hvis vi og alle andre med system-til-system-adgang henter al data dagligt, så kan det være, at vi nu risikerer at have data liggende i lokale databaser, som vi ikke må have liggende,« siger Peter Brodersen, som sammenligner sagen med CPR-lækket fra Robinson-listen i 2014.
Erhvervsstyrelsen har ikke ønsket at udtale sig om sagen til denne artikel. Styrelsen skrev i en pressemeddelelse i fredags, at de er ved at danne sig et samlet overblik over omfanget af datalækket og hvor mange personer, der er berørt. Datatilsynet bekræfter overfor Version2, at de har modtaget Erhvervsstyrelsens anmeldelse af datalækket 1. februar.
Version2 er i gang med at undersøge datalækkets omfang, og om der er lækket andet end hemmelige adresser og forretningsnøgler.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
