ITU-studerende kan støvsuge alle danskeres CPR-numre

Med få, let tilgængelige oplysninger har to ITU-studerende lavet et program, der afslører dit CPR-nummer.

Med din fødselsdato og adresse i hånden har to ITU-studerende demonstreret, hvor let de kan finde dit CPR-nummer på ganske få minutter. Oplysninger, som hurtigt kan findes på for eksempel Facebook. Det demonstrerer to it-studerende.

»Der havde i længere tid været en debat i Jyllands-Posten om, hvor let tilgængeligE CPR-numre er. Men der stod ikke rigtigt, hvordan man kunne få fingre i dem. Så jeg besluttede mig for at lave et program, der skulle vise, at de virkelig er nemme at finde. Et program, min mormor kan finde ud af at bruge,« siger Søren Louv-Jansen til Version2.

Han udviklede sammen med sin medstuderende Lasse Boisen Andersen en prototype af programmet på under ti timer.

Programmet udnytter, at mange teleselskaber bruger CPR-registret til at validere nye kunder. Da der kun er 270 mulige CPR-numre til hver fødselsdato og køn, tager det ikke lang tid for programmet at finde det gyldige CPR-nummer. Den prøver bare alle muligheder på teleselskabets hjemmeside og venter på, at et af numrene går igennem.

»Jeg synes, det er helt hen i vejret, at der er nogle, der bruger CPR-systemet til verifikation,« siger Søren Louv-Jansen.

Han håber, at programmet får virksomheder til at se sig om efter andre løsninger til at verificere kunders identitet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Morten Grouleff

Men teleselskabet, de udnytter til det, burde have lavet en beskyttelse i hjemmesiden mod den form for udnyttelse, f. eks. ved ikke at ville checke med samme adresse og fødselsdato mere end 5 gange i døgnet. Ikke at det ændrer det store; Der er jo så mange at tage af, at man så blot kan bruge forskellige hjemmesider til at checke op mod på skift, når man har fundet deres beskyttelsesgrænse.

Det var faktisk mit indtryk at man ikke måtte udstille sådan en "match service" som den omtalte uden at implementere en form for beskyttelse mod netop denne slags misbrug?

Det er bare grundlæggende forkert at bruge et globalt ID som bevis for hvem man taler med i den anden ende af en kommunikation. Det er fin identifikation, men meget ringe autentifikation.

Problemet går derfor først væk, når ingen længere tror CPR-nummeret kan bruges som autentifikation. Det vil en offentliggørelse af alle CPR-numre formentlig være en effektiv måde at sikre. Men det løser ikke problemet for dem, der stadig har behovet. Lige nu har de vel kun NemID at ty til som alternativ?

  • 5
  • 0
Carsten Bod

Jeg har tidligere arbejdet i telebranchen, og tilbage i 2006 udviklede vi netop en foranstaltning, som du beskriver. Det var faktisk efter krav fra IT- og Telestyrelsen, så det er lidt underligt, at de ikke løbende følger op på, om de forskellige teleselskaber overholder dette. Tvungen brug af NemID ville løse problemet langt hen ad vejen, og kunne også sikre selskaberne rent juridisk, da NemID jo tæller som en digital underskrift.

  • 4
  • 1
Jesper Lund

Men teleselskabet, de udnytter til det, burde have lavet en beskyttelse i hjemmesiden mod den form for udnyttelse, f. eks. ved ikke at ville checke med samme adresse og fødselsdato mere end 5 gange i døgnet.

En sådan begrænsning er næppe nok til at overholde persondataloven. I en foreløbig rapport fra Justitsministeriet om udvidelse af internetlogningen med personvalidering på hotspots, er der følgende bemærkninger om brugen af CPR nummer til personvalidering.
http://www.version2.dk/artikel/her-er-notatet-fra-justitsministeriet-om-...

Det skal imidlertid bemærkes, at Indenrigs- og Sundhedsministeriets CPR-kontor efter en henvendelse fra Datatilsynet for nyligt har ændret vilkårene for opslag i CPR ved anvendelse af digitale selvbetjeningsløsninger på internettet.

Baggrunden herfor er, at en række af CPR’s kunder har indrettet deres selvbetjeningsløsninger således, at brugeren i forbindelse med oprettelse af et kundeforhold, medlemskab eller lignende skal indtaste navn og CPR-nummer. Såfremt en validering mod CPR bekræfter, at der er sammenhæng mellem de indtastede data, vil brugeren få adgang til næste trin i processen. I modsat fald anmodes den pågældende om at indtaste navn og personnummer på ny.

Datatilsynet har fundet, at denne fremgangsmåde udgør en potentiel sikkerhedsrisiko, og har i den forbindelse henvist til, at den dataansvarlige efter persondatalovens § 41, stk. 3, skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger bl.a. kommer til uvedkommendes kendskab eller misbruges. Selv om flere digitale selvbetjeningsløsninger alene stiller et begrænset antal forsøg til rådighed for validering, har Datatilsynet tilkendegivet, at med et stigende antal digitale selvbetjeningsløsninger vil risikoen for misbrug af adgangen til at slå data op i CPR blive uacceptabelt høj. Det bemærkes i den forbindelse, at der til en given fødselsdato og et givent køn alene findes 270 valide CPR-numre.

Jeg vil læse det sidste afsnit som at det ikke er nok at begrænse opslagene til XX gange, og at systemet slet ikke må give brugeren respons på om navn og CPR nummer passer.

  • 2
  • 0
Jesper Lund

Cpr-nummer er så let at find hvis man vil, da der er så mange steder de er brug hvor sikkerheden ikke er tilstrækkelig.

Det er korrekt, men når virksomheder får adgang til CPR registeret, skal de følge alle regler for at beskytte denne adgang mod misbrug. Ellers bør CPR-kontoret inddrage deres adgang.

Og reelt har vi ikke noget alternativ til CPR på den korte bane. NemID er på ingen måde en sikker identifikation. Hvis vi havde fået en rigtig digital signatur, kunne vi tale om det. Men det er NemID ikke (andet end i "spin" sammenhænge).

  • 4
  • 0
Jesper Lund

Eneste løsning er at gøre CPR-numrene offentligt tilgængelige. Så vil ingen længere tiltro kendskab til dem som værende det samme som bevis for, at man er den man udgiver sig for ..

Du kommer ikke automatisk til at hænge på gæld optaget af andre blot fordi de har opgivet dit CPR nummer. Hvis der er långivere ala afbetalingsordninger i Elgiganten der giver folk lån blot de oplyser et CPR nummer eller fremviser et sygesikringskort, er de ikke rigtigt kloge. Og hvis de gør det, er det nok fordi de har sat rentesatsen på højt at der er råd til at dække svindel i stor stil.

For et teleselskab er der andre sikkerhedselementer, for eksempel at SIM kortet kun sendes til din folkeregisteradresse. Derudover er kreditgivningen i mange tilfælde begrænset på grund af forudbetalt telefoni. I nogle tilfælde vil den primære grund til at de kræver CPR nummer sikkert være statens paranoide overvågningskrav, herunder den "kære" logningsbekendtgørelse. Da jeg oprettede en abonnement hos Telmore i 2000, skulle jeg ikke angive CPR nummer.

Hvis du gjorde CPR numre offentligt tilgængelige, ville det være nødvendigt med en anden personvalidering, også i det tilfælde hvor et match mellem navn og CPR nummer vurderes til at være tilstrækkeligt. Og hvad skulle det være?

NemID er ikke svaret. For det første har alle borgere ikke NemID (husk også at regne personer med midlertidigt ophold i Danmark, for eksempel gæstestuderende og gæsteforskere med), og jeg tror ikke at teleselskaberne er parate til at sige farvel til en stor del af kundemassen. Folk uden NemID har også en ret til at kunne kommunikere med hinanden, via internet og telefoni.

Alternativt skal man have samme cirkus som hos (net)bankerne, hvor du skal indsende kopier af pas m.v., hvorefter vi har en lov som måske forpligter bankerne til at opbevare disse ting "sikkert" i deres arkiver (hvidvask reglerne), og en anden lov som forbyder bankerne at opbevare disse ting i deres arkiver (persondataloven, hvor Datatilsynet for lidt over 10 år siden konkret har udtalt at bankerne ikke må opbevare billeder af deres kunder).

For det andet er NemID ikke en sikker identifikation. MiTM angreb ødelægger det hele. Hvis staten havde lavet en rigtig digital signatur til os, kunne vil tale om det. Men det har staten ikke.

Nej, det der er behov for er en helt ny, og radikalt anderledes, omgang med begrebet "identitet". Herunder ikke mindst formålsspecifikke identiteter som ikke er linket på kryds og tværs af den samme identifier. Kun een person i hele verden har brug for at kende det samlede overblik over mine mange registreringer i forskellige offentlige og private systemer (hint: det er ikke nogen hos staten..).

Indtil vi får det på plads (hvilket vil sige "aldrig" med den nuværende offentlige IT-strategi) er vi nødt til at leve med CPR nummerets problemer, og det vil gøre ondt værre, meget værre, at offentliggøre CPR numrene som var det en telefonbog.

  • 1
  • 0
Per Erik Rønne

Jeg har selv oplevet et sådant identitetstyveri, og bortset fra at jeg havde opbevaret kopier af mine eksamensbeviser fra Københavns Universitet på min hjemmeside (de er slettet), er der mange der har kunnet slå CPR-nummeret op. Som alle jeg har været ansat hos, eller sendt jobansøgning til (med kopier af eksamensbeviser + c.v.), og en bunke offentligt ansatte.

Identitetstyven bestilte en bunke ting i mit navn, som herefter sendtes på postopkrævning, i visse tilfælde blot med en faktura. Så jeg havde besvær med at returnere varerne, eller 'bevise' at jeg ikke havde bestilt dem.

Det stod på i over et år.

Den eneste løsning på et sådant problem er at der når det er vigtigt nok at bruge legitimation med biometriske data.

I øvrigt køber jeg aldrig noget på nettet uden at det bliver betalt med mastercard. Det er lykkedes for mig at blive registreret i en database, der gør at jeg ikke længere kan bestille noget, uden at betale med kort inden afsendelsen.

  • 1
  • 1
Jan Heisterberg

@Jesper Lund:
Forklar lige hvordan MitM kan få adgang til mere end een logon som sker netop synkront med den igangværede login ?

-ikke at det ikke kan være slemt nok, men det er vel ikke en "ladeport" som er åbnet ?

P.S.: Og så handler det for de fleste om udbytte vs. risiko.
Selvflgelig er det ubehageligt at en MitM fjerne x.000 kr. fra min konto, men de kmmer jo retur (hvis jeg ikke har opbevaret pasord v. uforsvrligt).

  • 1
  • 0
Jesper Lund

@Jesper Lund:
Forklar lige hvordan MitM kan få adgang til mere end een logon som sker netop synkront med den igangværede login ?

MiTM er afhængig af at angriberen kan sniffe dit password og dernæst lokke OTP koder ud af dig, enten ved pop-up vinduer mens du er i gang med noget NemID, eller ved at lokke dig ind på en falsk NemID side. Det grundlæggende problem er at du ikke kan vide om du kommunikerer med DanID, og DanID kan ikke vide om de kommunikerer med dig.

  • 1
  • 0
Jan Heisterberg

@Jesper Lund:
Mon ikke jeg ved hvad et MitM angreb er når jeg stiller mit spørgsmål?

Altså: MitM "lytter" til min NetID logon og "fanger" den 6-cifrede kode jeg har læst på mit papkort; han/hun afbryder min forbindelse OG videresender koden. Altså er han/hun nu inde i målsystemet (netbank / skat / xxxxxx) OG kan sende / modtage på mine vegne. Han / hun ER mig i denne ene logon.

Og ja, han/hun kan overfører x trillioner kroner
fra min bank (hvis altså ikke lige banken har tænkt sig om og lagt et filter på: hmr .... han plejer aldrig at overføre over kr.15.000 - mon ikke der skal validering på denne transaktion ?
ELLER: han er 75 år, mon han har fået et nyt barn m ?ed navnet Xxxxxx ?

SÅ, bortset fra disse filtre, som enhver ansvarlig net-virksomhed selvfølgelig har på plads, hvordan kan MitM lave mere end eet angreb ?

  • 0
  • 0
Jesper Lund

Altså: MitM "lytter" til min NetID logon og "fanger" den 6-cifrede kode jeg har læst på mit papkort; han/hun afbryder min forbindelse OG videresender koden. Altså er han/hun nu inde i målsystemet (netbank / skat / xxxxxx) OG kan sende / modtage på mine vegne. Han / hun ER mig i denne ene logon.

Det er en mulighed, men der er andre.

Angriberen skal bruge NemID til at optage et lån eller oprette et teleabonnement i dit navn. Angriberen har tidligere sniffet dit NemID password via en keylogger. Nu mangler angriberen bare at kunne løse OTP challenge fra DanID for at kunne være "dig".

Angriberen venter til at du skal bruge netbank næste gang, eller lokker dig ind på en falsk spilleside, eller noget tredje. Husk at NemID skal bruges overalt så DanID kan tjene masser af penge (1 kroner per login, så du er ikke kunden, du er en del af produktet), og der er kun det samme papkort.

Angriberen logger på det tredje (dig ukendte) site med dit NemID password og får nu en OTP challenge. Den vises for dig i en anden sammenhæng, og du indtaster en kode fra dit papkort, men til angriberen ikke til DanID.

  • 3
  • 0
Anonym

Selve løsningen, hvor man bruger CPR til at lave en identifikation er i sig selv et scam. Det er MÅDEN man kan benytte, hvis man vil lave et identitetstyveri.

Man skal kunne tilspørge den enkelte, om dennes rette identitet, hvilket skal være direkte til den enkelte, ellers er der ikke tale om egentlig identifikation.
Med CPR validering, spørger man CPR systemet og ikke den enkelte identitet.

SÅ svært er det vel ikke at forstå, det er noget som grundprincipperne blev lagt til, for hundredvis af år siden.
Det er fundamenterne under de basale menneskerettigheder, den tre delte magt, det frie demokrati.
Det handler kun om at overføre det til internettet.
Det findes der en løsning på. De ansvarlige politikere ved det, og de ansvarlige embedsmænd ved der også.
De kender oven i købet prisen på at udvikle sådan en løsning, for den har de selv prisfastsat.
Det er en hyldevare, de kan købe, hvis de selv vil drive det.

  • 1
  • 0
Niels Danielsen

Identifikation af borgeren fortages af CPR i samarbejde med borgerservice.
Denne identifikation baserer sig på:
- Billede
- Underskrifts prøve
- Udstedelse af kort med billede, navn, adresse, offentlig og privat nøgle.
- Udveksling af personlig underskrifts kode

Formålet er at sikre sig at:
- Borgeren kan identificere sig over for det offentlige.
- 3 mand ikke kan overtage borgers identitet, herunder id kort med privat nøgle, og personlig underskrifts kode.
- Sikre at selv en insider med fuld adgang til Borgerservice / CPR ikke kan foretage en transaktion på en borgers vegne uden at det efterfølgende kan opdages.
- Sikre at 3 part som man har haft samarbejde med (F.eks. Bank, Forsikring, teleselskab) ikke har adgang til dine informationer ’for life’.
- Sikre at to forskellige 3 parter som man har samarbejde med kan ikke samkøre registre og finde fældes kunder.

Process:
- Borgeren får udstedt et plastic kort med billede (mindre end et år gammel), navn, adresse, offentlig og privat nøgle.
- Borgeren henvender sig i borger service får kortet udleveret.
- Borgeren går ind i foto box og bliver fotograferet (Igen), laver underskrifts prøve og indsætter kort i kort læser, samt indtaster ny underskrifts kode to gange.
- Borgeren går tilbage til skranken, hvorefter at skrankepaven kontrollere at billede er vellignende, samt ligner personen på billedet taget sidste gang.
- Kortet er nu klar til brug.
- CPR registeret indeholder en transaktions log, med billede, offentlig nøgle, underskrift etc.

Identifikation af borger via. Internettet foretages ved at borgeren køber en billig USB/Bluetooth ’dankort terminal’ (Anslået pris 500 kr)

Identifikation af borger over for 3 part, på dennes kontor (offentligt kontor, læge, forsikrings, tele selskab mm) foretages via. tamper prof terminal med hvor kommunikationen er krypteret, og signeret med nøgle kendt af CPR.

Hvert eneste 3 part får genereret et unik ID, som er et alias for den pågældende person. Det betyder at en bank, og et forsikrings selskab ikke kan se om de har de samme kunder, med mindre at borgeren giver dem lov.

CPR vedligeholder en portal med alle aktive og historiske unik ID med link til CVR (ID på 3 part).
Det skal være muligt at se hvilke oplysninger de forskellige 3 parts har fået adgang til.
Der skal være muligt at afmelde 3 part som man ikke længere har forretning med.

  • 0
  • 0
Niels Danielsen

Den går ikke - man kan ikke få udleveret en privat nøgle, for det må betyde, at borgerservice også kender den private nøgle.

Jeg vil egentlig have skrevet at borgeren skulle kunne vælge mellem at selv generere sine nøgler, og aflevere en den offentlige nøgle (Nørde løsningen)
Eller at kort leverandøren generere kort med en offentlig og privat nøgle, og at man så får udleveret et tilfældigt kort uden at CPR kender den private nøgle. (Hr og fru Jensen løsningen)
Problemet er selvfølgelig at kortleverendøren kender den private nøgle (kan have gemt en kopi)

  • 0
  • 0
Erik Jacobsen

...Hr og fru Jensen løsningen...

Ganske interessant hvad vi skal gør ved hr. og fru Jensen. Hvis du har en kortleverandør, der genererer private nøgler på kortene, og borgerservice blot udleverer et tilfældigt kort, så er det rigtigt at borgerservice ikke kender den private nøgle (...passende forudsætninger om at den ikke kan hentes ud fra kortet...)

Men kortleverendøren kender den private nøgle, men ikke hvem der har den. Det lyder rigtigt, men det er det ikke. Slet ikke.

Lidt firkantet, kender leverandøren dermed de 2 primtal, p og q, for hr. Jensen, og for alle de andre millioner udstedte nøgler. Med den samling af primtal i hånden er det intet problem i at tage hr. Jensens offentlige nøgle, dividere alle de millioner primtal op i hans offentlige nøgle, indtil der er eet der går op, og så kan man beregne den private nøgle. Det tager vel et par sekunder.

Sikkerhed er ikke nemt, hvis man selv skal tænke sig til det. Så:

1) Man skal ikke overlade sikkerhedsvalg til hr. og fru Jensen
2) Man skal ikke opfinde sin egen løsning, men forholde sig til anerkendte løsninger

  • 0
  • 0
Frithiof Andreas Jensen

Og hvis de gør det, er det nok fordi de har sat rentesatsen på højt at der er råd til at dække svindel i stor stil.


Näh - det er en mere indviklet proces. Hvis Elgiganten et. al. selv holder disse lån burde de også afsätte kapital til eventuelle tab. Men det med at have lager og reserver til ting går galt er ökonomisk "ineffektivt" i en verden med öjeblikkelig kredit. Man ved jo nok også at folk der gladeligt låner til 25%++ i rente nok ikke er de bedste eksempler på en stabil privatökonomi. Hvad gör man? Jo, man pakker gälden om så den ligner en obligation og sälger den videre. Derefter er det en andens problem.

Svindel, et problem? Tvärtimod, for sälger-siden er det egentligt en oplagt forretningsmulighed fordi man via "markedet" kan shorte eller köbe CDS'ere på de obligationer man lige har solgt og besidder detaljeret insider-viden om. For at skubbe odds'ene lidt har man måske sat nogle incitamenter op for sälgerne der gör at de ikke checker kundernes betalingsevne alt for meget.

Nogle firmaer tjener så meget på selve finansieringen at produkterne kun er en mindre del af forretningen, GE for eksempel, General Motors, HP er godt på vej. Det er derfor alle industriprodukter bliver generiske og fremstillet på de samme to mega-fabrikker: Produktet er kun en metode til at producere lån, som er det produkt man i virkeligheden lever af at sälge.

http://www.investopedia.com/ask/answers/07/securitization.asp

  • 0
  • 0
Log ind eller Opret konto for at kommentere