Hemmelige adresser lækket i CVR: Kan være spredt til tilfældige virksomheder

12 kommentarer.  Hop til debatten
Hemmelige adresser lækket i CVR: Kan være spredt til tilfældige virksomheder
Illustration: the_lightwriter/Bigstock.
Erhvervsstyrelsen lukkede i fredags for adgangen til det centrale virksomhedsregister, CVR, efter styrelsen ved en fejl havde offentliggjort persondata i registret og den tilhørende API.
3. februar 2021 kl. 10:38
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Opdatering 4/2/2021 kl. 9:00: Emil Stahl modtog svar på sin mail til Erhvervsstyrelsen 2. februar efter interviewet med Version2. Mailen lød: »Jeg kan til din orientering oplyse, at du alene har modtaget underretning i din egenskab af bruger af systemet. Hvis du som registreret i CVR-databasen er omfattet af hændelsen, vil du modtage særskilt besked herom, så snart Erhvervsstyrelsen har haft lejlighed til at udforme en sådan.«

Erhvervsstyrelsen har ved en fejl lækket hemmelige adresser i CVR på Virk og i det offentligt tilgængelige API, som virksomheder bruger til automatisk at hente data fra CVR-databasen. Det viser en mail, som Erhvervsstyrelsen har sendt til virksomheder med API-adgang, som Version2 har set.

»Den utilsigtede offentliggørelse af personoplysninger i system-til-system løsningen er indtruffet onsdag d. 27. januar 2021 kl. 19.50 og stoppet igen fredag d. 29. januar 2021 kl. 11.00,« skrev Erhvervsstyrelsen i mailen til alle virksomheder med adgang til API’en fredag klokken tre.

Hvis virksomheder har hentet data fra API’et i den periode, hvor personoplysningerne har ligget åbent i virksomhedsregistret, risikerer de lækkede persondata nu at være lagret hos forskellige virksomheder.

Artiklen fortsætter efter annoncen

Emil Stahl har selv hemmelig adresse og har adgang til CVR-API’et via sit eget selskab.

»Hvis man som virksomhed har gemt data fra API’et lokalt, så kan de beskyttede adresser reelt være spredt i forskellige virksomheder nu,« siger han til Version2.

»Det må være slemt, når man lukker helt ned«

API’et giver adgang til at hente nye og historiske CVR-data, som Erhvervsstyrelsen har offentligjort. Løsningen giver brugere mulighed for at tilgå CVR-data fra egne systemer og gemme dem lokalt i stedet for at lave enkeltopslag på datacvr.virk.dk/data.

»Hvis du er en virksomhed, så kan du for eksempel bruge API’et til at slå CVR-numre op. Du kan hente data direkte fra CVR, også ubeskyttede adresser på direktionen og virksomhedens ejerkreds,« siger Emil Stahl.

Artiklen fortsætter efter annoncen

Men i mailen, Erhvervsstyrelsen sendte til virksomhederne klokken tre i fredags, lyder det til, at også beskyttede adresser i nogle tilfælde har ligget åbent i databasen.

Datalækket betød, at Erhvervsstyrelsen i fredags måtte lukke helt ned for adgangen til CVR. Forsøgte man at gå ind på hjemmesiden, blev man mødt af en fejl.

»Det var meget mystisk, fordi de lukkede API’en og hjemmesiden. Det må være slemt, når man lukker helt ned,« siger Emil Stahl.

Radiotavshed fra Erhvervsstyrelsen

Emil Stahl forventer, at hans egen hemmelige adresse er omfattet af datalækket, fordi data fra hans eget selskab selvfølgelig indgår i virksomhedsregistret. Men hvis han ikke selv havde adgang til API’et, ville han ikke være klar over, at hans adresse potentielt er kompromitteret.

Tre mails

29/01/ 2021 kl. 10:30: Første mail
»Erhvervsstyrelsen oplever pt. tekniske udfordringer med system-til-system adgangen til CVR-data, der resulterer i at samtlige brugere bliver mødt af en http 401 Authorization Required fejl. Der arbejdes på højtryk for at udbedre fejlen, og i hører nærmere når det er udbedret. Tidshorisonten er pt. ukendt.«

29/01/ 2021 kl. 15:00: Anden mail
Erhvervsstyrelsens anden mail fortæller virksomheder med adgang til API'et, at der er sket en utilsigtet offentliggørelse af personoplysninger. Læs hele mailen nederst i artiklen.

30/01/ 2021 kl. 19:45: Tredje mail
»Du modtager denne mail som opfølgning på de forrige mails vedr. driftsstatus på system-til-system adgang til CVR-data. Erhvervsstyrelsen har nu løst den tidligere beskrevne hændelse, og Jeres brugeradgang er derfor blevet etableret igen.«

Kilde: Peter Brodersen.

Erhvervsstyrelsen har nemlig endnu ikke udtalt sig om, hvad de har tænkt sig at gøre ved dem, der er påvirkede af datalækket, fortæller Emil Stahl. Han forsøgte at stille Erhvervsstyrelsen en række spørgsmål, efter han havde modtaget mailen om datalækket i fredags. Styrelsen har endnu ikke svaret, selvom de selv indbød til spørgsmål i mailen.

»Det er underligt, at vi ikke har fået mere information efterfølgende. Jeg synes, man kunne forvente mere af dem, for de er en offentlig myndighed, og de er selv tilsynsmyndighed, så man skulle antage, at de havde nogenlunde styr på data selv,« siger han.

adresseHemmelig = true

Erhvervsstyrelsen skriver i en pressemeddelelse fredag, at datalækket skyldes, at der er sket en fejl, mens nye data er blevet indlæst i databasen.

»Den utilsigtede offentliggørelse skyldes en fejl i forbindelse med indlæsningen af nye data. Der er ikke tale om hacking eller lignende, hvor tredjemand uberettiget har skaffet sig adgang til de pågældende oplysninger,« skriver Erhvervsstyrelsen i en pressemeddelelse.

»Der er virksomheder, som har lov til at hente data fra CVR-databasen, men fordi myndigheden er kommet til at stille data til rådighed, som ikke må stå til rådighed, så risikerer virksomheder at have lokale kopier af de hemmelige adresser. Og de data kan ligge en hel del forskellige steder nu,« siger Peter Brodersen, som har udviklet findvej.dk og arbejder som udvikler hos Septima, til Version2.

Peter Brodersen er en af dem, som har adgang til API’et. Han fik derfor også tilsendt mailen fra Erhvervsstyrelsen fredag og lagde den kort efter ud på Twitter. Erhvervsstyrelsen forklarer i mailen, hvilke felter i API’et der er omfattet af datalækket:

»Såfremt værdien "Vrvirksomhed.deltagerRelation.deltager.adresseHemmelig" er sat til ”true”, men der er indeholdt data under feltet "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse", bedes data indeholdt i "Vrvirksomhed.deltagerRelation.deltager.beliggenhedsadresse" slettet øjeblikkeligt fra egne systemer,« skriver Erhvervsstyrelsen.

»Jeg antager, at hvis adressen er hemmelig, vil beliggenhedsfeltet være tomt. Men her virker det, som om adressen står åbent i beliggenhedsfeltet, selvom adressen er hemmelig,« siger Peter Brodersen.

Også »forretningsnøgler« ser ud til at være lækket i databruddet.

Styrelsen fortæller i mailen, at der ikke findes »et lovhjemlet offentliggørelsesgrundlag« for de lækkede data, og at man som bruger af API’et bør fjerne de lækkede oplysninger, hvis man via API’et har hentet CVR-data mellem 27. januar 2021 klokken 19:50 og 29. januar 2021 klokken 11.00.

»Det betyder, at vi og alle andre virksomheder skal være opmærksomme. Hvis vi og alle andre med system-til-system-adgang henter al data dagligt, så kan det være, at vi nu risikerer at have data liggende i lokale databaser, som vi ikke må have liggende,« siger Peter Brodersen, som sammenligner sagen med CPR-lækket fra Robinson-listen i 2014.

Erhvervsstyrelsen har ikke ønsket at udtale sig om sagen til denne artikel. Styrelsen skrev i en pressemeddelelse i fredags, at de er ved at danne sig et samlet overblik over omfanget af datalækket og hvor mange personer, der er berørt. Datatilsynet bekræfter overfor Version2, at de har modtaget Erhvervsstyrelsens anmeldelse af datalækket 1. februar.

Version2 er i gang med at undersøge datalækkets omfang, og om der er lækket andet end hemmelige adresser og forretningsnøgler.

12 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
11
9. februar 2021 kl. 15:03

Anekdote: Som privatperson kan man melde sig i Robinson-registeret. Derved bliver det ulovligt at få tilsendt uønsket spam. Politiet griner overbærende hvis man ringer for at anmelde det - mere ulovligt er det åbenbart heller ikke :(

Angående din anekdote. Hvis du vil klage over brud på markedsføringensloven skal du kontakte forbrugerombudsmanden.

10
8. februar 2021 kl. 13:20

</p>
<p>Man kunne jo spørge sig selv om man har lyst til at handle med et firma hvis ejere ønsker at skjule sig. Men det har måske sin berettigelse.

Hej Leif,

Jeg vil tillade mig at gætte på, at du ikke har haft fornøjelsen af at drive virksomhed registreret fra din privatadresse, med dit privatnummer eller en privat email-adresse for nylig? Jeg synes personligt det har nået nye højder de sidste ti år oder so.

Med mindre man decideret fornøjer sig med spam/scam-opkald fra udlandet eller ved at få fyldt sin postkasse med alt muligt reklame-ragelse, så er det efter min mening et must at have beskyttet adresse og telefonnummer i én eller anden form.

Anekdote: Som privatperson kan man melde sig i Robinson-registeret. Derved bliver det ulovligt at få tilsendt uønsket spam. Politiet griner overbærende hvis man ringer for at anmelde det - mere ulovligt er det åbenbart heller ikke :(

9
6. februar 2021 kl. 16:54

Man kunne jo spørge sig selv om man har lyst til at handle med et firma hvis ejere ønsker at skjule sig. Men det har måske sin berettigelse.

8
4. februar 2021 kl. 11:51

Allerede i august 2019 informerede jeg Erhvervsstyrelsen om, at de inkluderede en hemmelig mailadresse i det offentligt tilgængelige API.

Dengang var det indholdet af feltet "ObligatoriskEmail", der var inkluderet med information om, at det var et hemmeligt felt.

Man skulle tro, at Erhvervsstyrelsen dengang var blevet opmærksomme på problematikken, så lignende ikke skete igen.

7
3. februar 2021 kl. 20:54

Har du tjekket Emil? Jeg har - og den står der stadig. Gab, gab.

Nej, jeg slog dig ikke op. Tillod mig fejlagtigt at antage :)

Men så skal du da kontakte Erhvervsstyrelsen i morgen. Min egen - og alle jeg kender med beskyttelsen, har kun navn og land stående i CVR.

Bekræft evt med CPR registerindsigt at den er aktiv/indrapporteret:

Beskyttelse (nuværende)

Beskyttelse Indrapporteret Gældende fra Slettedato Navne- og adresse JA 11.06.2020 11.06.2030

https://www.borger.dk/Handlingsside?selfserviceId=4b84f72e-c05c-4f5b-90e9-9be529c920ae

6
3. februar 2021 kl. 20:20

Din adresse var synlig frem til februar 2019, hvor lovgivningen blev ændret. Den har altså ikke fremgået i CVR-registeret i to år.

Har du tjekket Emil? Jeg har - og den står der stadig. Gab, gab.

Jeg går på med PC/Win10/Edge. Nå, men i det mindste har jeg ikke haft gæld i mit nu for længst lukkede firma ;)

Det er dog trist, at DK stadig ikke har ordentligt styr på IT.

5
3. februar 2021 kl. 18:26

Nis, at din beskyttede/hemmelige adresse tidligere har været synlig på cvr.dk, har dog intet med historien her at gøre.

Din adresse var synlig frem til februar 2019, hvor lovgivningen blev ændret. Den har altså ikke fremgået i CVR-registeret i to år.

https://erhvervsstyrelsen.dk/nemmere-faa-adressebeskyttelse-i-cvr

4
3. februar 2021 kl. 17:15

Dk er slem til at diskriminere alle DK'er, der flirter med noget i udlandet.

Jeg blev chokeret over det modsatte i Frankrig i 70'erne. Tog man job hos ESA var det jo ikke sikkert, at mqn lige kunne komme tilbage til et job efter en tidsbegrænset opgave. men Frankrig tilbød garanati for et års løn, hvis man skulle være så uheldig. (Andre fohold kan selvfølgelig være anderledes det ved jeg ikke noget om. I øvrigt var hele EU og ESA overbestykket med enegelsk talende ude af proportioner med UK's deltagelse, der nu e r0)

3
3. februar 2021 kl. 15:46

Min "registerhemmelige" privatadresse har i mange år været frit tilgængelig på cvrvirk.dk.

IDA er ikke et hak bedre. I april modtog jeg en mail fra ida, hvor de opfordrede mig til at ændre "min status". fordi de "kunne se" at jeg havde arbejdet i udlandet, skønt jeg haft min nuværende adresse i over 20 år og det er over 28 år siden jeg har arbejdet i Frankrig. Selvom jeg fik en glimrende uddannelse i Digital (DEC) der, har siden kun haft ulønnet arbejde i DK og været timelønnet 5-10 timer om ugen fra 2007 t.o.m. 2014, som hjælpelærer DTU i mit fag. Jeg fik løn i 7 måneder (30timer/ugentlig) - indtil jeg tog ulønnet "forskningsorlov" i 8 mdr for at finde "en enkel metode til bedre SW-udnyttelse", som jeg fandt, men matematikken bag, virkede i overbevisende på mig dengang.

Tilbuddet om deling af min viden med læserne er stadg åbent, når det passer redaktionen på ing.dk / version2.dk at besvare mine mails ...

PS. Jeg har ikke modtaget nogen undskyldning i min e-boks endnu!

2
3. februar 2021 kl. 14:14

Den brutale virkelighed er jo desværre at myndighederne igen har ”svinet” med vores data.

Problemet er jo ikke lokale data, problemet er at hemmelige data som f.eks. hemmelige adresser er sluppet ud! Jeg mener at skaden er irreversibel.

Bevares Erhvervsstyrelsen kan jo skrive ud og bede modtagerne om at slette de ulovligt modtage data, men hjælper det?

Mange af disse systemer er jo fuldautomatiske, så hvis f.eks. en bank via API’en modtager en hemmelig adresse på en kunde, så ryger disse data jo automatisk videre ind i f.eks. kreditvurderingsselskabets NIELSEN servere i USA som returner de services banken abonnerer på.

Det sker måske 10 min efter at Erhvervsstyrelsen udleverede de hemmelige data.

Problemet opstår hvis en anden bank abonnerer på services hos Nielsen i USA – så spredes den hemmelige adresse til alle kunder inkl. deres danske kunder.

Derover er det ikke ulovlig og de var i "god tro" og det at den hemmelige adresse nu ikke længere hemmelig – gør jo ikke deres services mindre værd!

Enhver virksomhed som har udviklet en API mener jo selv at de er berettiget til at indhente disse data om en tredjemand.

Jeg mener at man bør skrue vildt op for straffen for at krænke hemmelige adresser og indføre omvendt bevisbyrde.

1
3. februar 2021 kl. 10:53

De angiver trin for trin, hvordan en test case skal skrives. Havde det ikke været en idé at bruge den, før der bliver rullet ændringer ud?

Det virker som om, at temmelig mange af de datalæk, som Version2 beskriver, ville være fundet, hvis man havde prioriteret automatiserede test højere.