It-studerende risikerer bøde på 25.000 kroner for CPR-happening

Egentlig utroligt at almindelige borgere er nød til at begå ulovligheder for at vise hvor tåbelig vores CPR-numre og anden sikkerhed bruges?

Såvidt jeg kan se var det slet ikke Søren Louv-Jansen der offentliggjore disse CPR numre. Han demonstrerede jo bare at andre allerede havde offentliggjort disse CPR numre.

Jeg synes at Datatilsynet skulle gå til sagens rod som jo handler om at CPR numre allerede er frit tilgængelige for enhver som gider at bruge mere end at par minutter på at finde dem. Hvorfor har Datatilsynet ikke politianmeldt de teleselskaber og småbanker som offentliggør CPR numre via deres web sider? Det er da lidt for nemt at gå efter en studerende som prøver at gøre opmærksom på et reelt problem! Hvorfor sagde Datatilsynet ikke tak til Søren da han gjore opmærksom på problemet den første gang og hvorfor greb de ikke ind dengang?

Mvh Steen

Men ingen bøde til de udviklere som har i virkeligheden har gjort dataene tilgængelige via deres API?

Ja, ynkeligt.

Ikke enhver script kiddie kan eftergøre dette. Men, der har været adgang til data, hvor der ikke burde have været adgang til data.

At have påpeget det burde ikke udløse en bøde, men en medalje!

I "Kejserens nye klæder" bliver en kejser forledet til at tro, at han går rundt i klæder lavet af smukke stoffer, men han går i virkeligheden bare rundt i undertøj.

"Kejseren" blev underlagt bluf i H. C. Andersen eventur fra 1837, måske politikerne skulle lære forskellen mellem smukke stoffer og undertøj. Vi har nemlig set, at det kun er undertøj

er naturligvis at gøre samtlige cpr-numre (med navne) offentligt tilgængelige.

Idet man kan undtage enkelte på linje med dem der kører med hemmeligt telefonnummer - for at undgå chikane fra en eks.

Søren har offentliggjort nogle CPR-numre, som han ved er de rigtige. Han fortæller ikke direkte hvilke numre (af fire) der er de korrekte for de nævnte personer.

Hvor går grænsen?

Med reglerne for konstruktion af de fire sidste cifre, samt viden om en persons fødselsdag (samt evt køn), kan man forholdsvis let generere, og præsentere, alle mulige kombinationer af disse fire sidste cifre.

Hvis man så viser ALLE disse kombinationer offentligt, så har man jo pr. definition offentliggjort personens cpr-nummer.

Er det ulovligt? Jeg kender jo ikke personens cpr-nummer på forhånd, men har alligevel offentliggjort det.

Offentliggørelse af 5 cpr numre: 25.000 Dvs. bøde for 1 cpr nr: 5.000

Offentliggørelse / lemfeldig omgang med 4.000.000 cpr nr: 20.000.000.000 Hvorfor ikke?

Jeg har aldrig forstået tanken bag "jeg vil bevise at X har dårlig sikkerhed så derfor tilegner jeg mig X's data og udstiller Y's informationer".

Det har været gennemgående i utallige hacker/cracker sager de seneste 20-30 år.

Hvad er pointen?

Ja, der fremsættes en pointe om at X har dårlig sikkerhed, men tilgengæld udstiller man Y's data.

Hvis man laver indbrud skal man straffes for indbruddet. Hvis man stjæler noget skal man straffes. Hverken indbrud eller tyveri er lovligt i den analoge verden, hvorfor skal det så være lovligt i den digitale?

så hvordan kan anklage myndigheden vide om Søren rent faktisk har gjort numrene tilgængelige?

Han kunne i princippet bare have valgt nogle tilfældige numre. Hvordan vil anklage myndigheden mon bevise at det var de rigtige numre?

Søren Louv-Jansen offentliggjorde problemet med at man kunne fiske cpr numre fra teleselskaberne allerede for mere end et år siden. Argumentet med at hullerne stadig findes er en halv sandhed. Det hul Søren eksperimenterede med blev lukket få timer efter at det blev påvist. Der er altså ikke rigtigt noget nyt omkring dette som kan hellige at Søren laver et site hvor han håndtere, gemmer og udstiller stjålne cpr numre. Klart et usmageligt og forsætligt brud på dataregisterloven.

Ser man derimod på hvor meget medie omtale som Sørens site får, så får man unægtelig den tanke at sitet er lavet for egen vindings skyld simpelthen for at markedsføre sit eget navn. Derfor bør man i bødeudregningen tage hensyn til den potentielle markedsværdi sådan en site har. Her taler vi sikkert 7-ciferede tal.

Generelt er der et problem i at folk tror det er en heroisk gerning når der "for sagens skyld" begås denne slags IT-ulovligheder. Jeg tænker her også på noget så dumt som at bevise at Nets kunne trækkes ned ved et DoS attack. Tænk på hvilken byrde dette tilføre andre - uskyldige mennesker. Hvorfor ikke bare i første omgang henvende sig til rette vedkommende og gøre opmærksom på evt problemer ?

Da dette er så klart et forsætligt lovbrud så bør man her statuere et eksempel på hvad der sker når man går over stregen.

Men skal vi så ikke komme i gang med en indsamling, så vi kan skillinge lidt sammen til Sørens evt. bøde. Jeg smider gerne penge i den pulje for, at bakke op om Søren.

"En del af Datatilsynets virksomhed er også at føre tilsyn med behandling af personoplysninger. Datatilsynets medarbejdere foretager inspektioner hos både myndigheder og virksomheder." ( http://www.datatilsynet.dk/om-datatilsynet/datatilsynet/ )

De skulle jo nærmest selv have en bøde hvis de ikke reagerede som de har gjort?

@Martin... er det ikke således at man (=mange herinde) har fremført netop CPR problemet gentagne gange uden at komme igennem med pointen. Nu har Mr. Louv-Jansen så gjort noget ved det så pointen denne gang blev hørt. Desværre blev den "hørt" forkert - der er stadig ingen som forholder sig aktivt til problemstillingen, men istedet koncenterer sig om det brud som Louv-Jansen har udført. Analogien omkring dit låste hus kan ikke bruges. Du er den eneste som kommer til skade af at dit hus står ulåst. Det er alle danskere der kommer til skade når CPR-huset står pivåbent. Hvis Louv-Jansen får en bøde skal jeg nok give en skærv !!

Nogle gange kan man altså godt fremføre sine pointer uden at føre dem ud i livet.

Jeg bryder heller ikke ind i Føtex for at udstille deres dårlige sikkerhed.

Jeg sniger mig ikke gratis ind på et museum for at udstille deres dårlige adgangskontrol.

Jeg går heller ikke op på kommunen og roder i deres computersystem bag skranken for at vise hvor nemt det er.

Hvorfor er det så i orden, lige så snart vi snakker software, at udstille fejl og mangler ved at gøre noget ulovligt?

Man må gerne hacke offentlige systemer, bryde ind i netbanker osv. bare man husker at sige, at "man gjorde det for at udstille sikkerhedsproblemer".

Jeg forstår det ganske enkelt ikke. Dårlig sikkerhed, uanset om det så er digitalt eller i den fysiske verden, giver aldrig carte blanche til at folk så må tage for sig af retterne. Bare fordi jeg ikke låser min dør giver det ingen ret til at gå ind i mit hus.

Søren Louv-Jansens pointe er jo, at CPR-nummeret for en given person er let tilgængeligt fra diverse webtjenester hos bl.a. mobilselskaber. Bryder de også Persondatalovens § 11?

Jeg antager, at det mere præcist er § 11, stk. 3, han er sigtet for at overtræde?

Hvad er det egentlig for en lovgivning, der fritager teleselskaber og andre fra det generelle forbud mod registerering i § 11, stk. 2, nr. 1?

»Der er ikke hjemmel i loven for at straffe offentlige myndigheder. Vi kan i stedet rette henvendelse til den politiske ledelse,« siger Janni Christoffersen

Brænder lokummet så voldsomt, så kan man eventuelt lave en rituel fyring, eller give en minister en næse, men ellers er det så som så.

Det bliver vist mere og mere tydeligt at borgerne er til for samfundet, selv om det i teorien burde være omvendt.

I nogle af de sager hvor offentlige institutioner uforvarende er kommet til at lægge CPR-data på nettet, så har der også været fortrolige patientinformationer sammen med. Altså den slags information hvor en kommune med rette taler om tavshedspligt. Her giver det mening at give en bøde.

Men når man offentliggør Indenrigsminister Margrethe Vestagers (R) CPR-nummer, som egentlig bare er et journalnummer, så er der ikke noget gjort ulovligt.