Knæk Cancers kampagneside minede Monero, 6.500 CPR numre eksponeret

Alle berørte af eksponeringen af CPR-numrene er blevet kontaktet af Kraftens Bekæmpelse.

Darth Vader?

Undskyld.

Tilgengæld lå de udsatte personnumre der, fordi man skal indtaste sit CPR-nummer på siden for at få skattefradrag for sin donation.

Hvorfor er de numre blevet liggende på sitet? Er det ikke noget der skal sendes én gang til SKAT?

Det er muligt at den ansvarlige vurderer at hackerne ikke ønsker at misbruge den personinforation de har fået adgang til - men det kan vedkommende altså ikke konkludere.

Hvis der ligger CPR uden yderligere informationer, er skaden alene at disse donationer kan køres sammen med andre data 'nogen' har skaffet andetsteds. Det er brud på GDPR alligevel.

Hvis CPR ligger sammen med navn, adresse eller andre informationer vil en 'anstændig' hacker forsøge at sælge disse eller gemme dem til senere brug og nu er der i artiklen ikke oplyst om hvilke data der var tale om, men det skulle undre mig om websitet hvor donation foregår alene har haft CPR og beløb - så mon ikke der er fulgt andre informationer med?

Hvorfor er de numre blevet liggende på sitet? Er det ikke noget der skal sendes én gang til SKAT?

Men hvis nu den overførsel fejler, så er det jo rart at kunne lave overførslen igen. Og hvor længe skal man så lige gemme dem.

En klassisk fejl!

Elsker at man altid skal pointere at systemet hverken indeholdt bank- eller kontooplysninger. Vil 100x hellere have mine kortoplysninger lækket og misbrugt end mit CPR-nummer. Misbrug på kortet dækkes som udgangspunkt af banken / Nets uden problemer. Ikke sikker på at staten vil dække alle udgifter og gener at et seriøst CPR misbrug.

Arbejder selv i en større dansk NGO, og ved derfor, at Skat kun vil modtage oplysninger om godtgørende donationer én gang om året. Det sker i ét stort batch, hvorefter den pågældende NGO har mulighed for at tilrette få yderligere donationer, hvis det skulle være nødvendigt.

Det sker i ét stort batch, hvorefter den pågældende NGO har mulighed for at tilrette få yderligere donationer, hvis det skulle være nødvendigt.

Tak for oplysningen :)

De kunne i det mindste lige have krypteret CPR-numrene, før de smed dem i databasen.

Helt enig. Og løbende smidt dem ud i et system til formålet - f.eks. deres medlemssystem / CRM hvor det må antages at sikkerheden er større.

De kunne i det mindste lige have krypteret CPR-numrene, før de smed dem i databasen.

Det er faktisk ikke svært. Eksempelvis kan man kryptere med GPG hvor du bruger den offentlige nøgle til krypteringen. Dekryptering kræver den private nøgle, som gemmes offsite og beskyttet med password. Password kan eventuelt deles op i to dele, som opbevares så ingen enkeltperson kan opnå adgang.

Enkelt og nemt. Der mangler fokus på det. I stedet for kun at fokusere på trusler om bøder, så burde man også informere om godkendte løsninger.

Der mangler fokus på det. I stedet for kun at fokusere på trusler om bøder, så burde man også informere om godkendte løsninger.

Helt enig. Men fokus er kun så småt ved at komme, fordi at der blev truet med bøder.

Jeg tror ikke, at vi skal have et katalog af godkendte løsninger, for det er vigtigt at folk selv tager ansvar og bruger hovedet - det hverken kan eller skal uddelegeres. Lidt lige som at vores hastighedsgrænser ikke er godkendte hastigheder, som fritager trafikanter for at tænke selv og bruge hovedet.

Men der er helt klart brug for mere 'best practice' indenfor dette meget oversete område. Nu siger jeg ordet 'pattern', selvom det nok er et af de mest misbrugte ord i vores branche, og jeg trods det, at det en overgang blev utroligt hypet, kun kan komme i tanke om et antal gode patterns bøger o.lign., som vil kunne tælles på en hånd - selv hvis man er persioneret maskinsnedker.

Udfordringen her er, at man modtager følsomme oplysninger, som først skal bruges senere og i et batch-agtigt setup. Allerede det er en væsentlig erkendelse, som først opstod i løbet af debatten.

Der bliver så skitseret en række mulige løsninger, alle med deres fordele og forhold, som man nok lige bør overveje.

• kryptering inden lagring: ja, bestemt bedre, men så bliver der f.eks. udfordringer med håndtering af nøglemateriale
• lagring i andet system/offline lagring: ja, bestemt bedre, men det flytter bare problemet, forhåbentligt til at mere sikkert sted - hvis det bare er flere æg i samme kurv, så er man lige vidt
• asymmetrisk kryptering: ja, bestemt bedre, men ikke trivielt, og med sine udfordringer

Så der er 'patterns' her, som burde gives en mere systematisk behandling. Zone opdeling (DMZ, front end/back end) og saltning af passwords er andre eksempler på anerkendte løsningsmønstre (og der er alternativer, som f.eks. zero-knowledge-proofs istedet for klassiske passwords).

Jeg er ikke bekendt med, at det er et emne, som skulle være noget, som er blevet behandlet på systematisk vis, men det kan meget vel skyldes min uvidenhed.

Så fordi det umiddelbart lignede at det bare var cryptominer, så antager man at det nok bare var det?? Så stoler man måske også på datas integritet efter et ransomware-angreb hvor man har betalt for at få data dekrypteret igen? Eller regner med at det DDoS-angreb man ser, bare er et DDoS, og ikke en afledning?

Hvem var det der fik et land erobret ved at skrive i sin dagbog: "i dag skete der intet bemærkelsesværdigt."

Misbrug på kortet dækkes som udgangspunkt af banken / Nets uden problemer.

... ja, i første led - men hvem tror du i sidste ende dækker?

Selvfølgeligt burde de have krypteret alle personfølsomme data som et minimum og håber de får et lag (metaforiske) tæsk for at fejle der. Men personligt synes jeg at den virkelige skandale er at et CPR nummer har nogen særlig værdi. At nogen folk og virksomheder stadig anser CPR for at være både identifikation og bevis på identitet er beskæmmende.

Det er faktisk ikke svært. Eksempelvis kan man kryptere med GPG hvor du bruger den offentlige nøgle til krypteringen. Dekryptering kræver den private nøgle, som gemmes offsite og beskyttet med password. Password kan eventuelt deles op i to dele, som opbevares så ingen enkeltperson kan opnå adgang.

Det er faktisk lettere endnu (ingen brug for nøgle- og password management), da et af formålene med asymmetrisk kryptering er at man krypterer med modtagerens (her SKATS) offentlige nøgle. Om skat så vil modtage posterne løbende eller i et årligt batch er så ligegyldigt.

... ja, i første led - men hvem tror du i sidste ende dækker?

Jeg er helt med på at det gør forbrugerne, og jeg argumenterer ikke for at misbrug af kort er godt eller noget man ikke bør forsøge at undgå og dæmme op for. Mener blot, at misbrug af CPR-nummer er værre end misbrug af et kreditkort, da det kan få væsentlig større personlige konsekvenser for indehaveren af det misbrugte CPR-nummer.

Men personligt synes jeg at den virkelige skandale er at et CPR nummer har nogen særlig værdi. At nogen folk og virksomheder stadig anser CPR for at være både identifikation og bevis på identitet er beskæmmende.

Sålænge diverse myndigheder og virksomheder mærker alle deres data om os med CPR-nummer har det netop en værdi til ufrivillig og ukontrolleret profilering af os.

Med nutidig ID- og token-teknologi og i lyset af bevidstheden om at alle databaser før eller siden bliver succesfuldt angrebet (som i eksemplet her) er det unødvendigt og skadeligt med sådanne generelle korrelations-håndtag. Så løsningen på problemet er helt at afskaffe CPR-nummeret. Det løser samtidigt og fuldstændigt det forståelsesproblem, du beskriver. Det er desværre bare en dyr og omstændelig proces med de mange forældede legacy-systemer, der er i drift.

... er det unødvendigt og skadeligt med sådanne generelle korrelations-håndtag.

Enig. Men jeg er sikker på, at man opfatter universel linkability som en feature og ikke en bug. Tidens mantra er "need to share", ikke "need to know".

Så det bliver nok desværre op ad bakke.

Misbrug på kortet dækkes som udgangspunkt af banken / Nets uden problemer.

Har du bemærket, hvor meget man gør for, at dette er en kutyme og ikke en ret?

krypterer med modtagerens (her SKATS) offentlige nøgle. Om skat så vil modtage posterne løbende eller i et årligt batch er så ligegyldigt.

Modellen må forudsætte, at man kender Skats indberetningsformat før året starten. Det passer ikke så godt med det Skat, jeg kender.

Modellen må forudsætte, at man kender Skats indberetningsformat før året starten. Det passer ikke så godt med det Skat, jeg kender.

Det er så kun CPR nummeret der skal krypteres. Hvor sikkert det er, at kryptere et enkelt CPR nummer er så et godt spørgsmål. Hvis man har 1.000 tekster af 10 cifre, er det så realistisk at udregne den private nøgle.

Men ellers der der jo muligheden for at hashe CPR nummeret. Hvilket også skal overvejes om der kan regnes den anden vej.