Kriminelle stjæler cpr-numre fra bibliotekscomputere: »Det er et organiseret angreb«

Illustration: Mikkel Meister
It-kriminelle har stjålet cpr-numre og måske anden data fra personer, som har brugt offentlige computere på biblioteker og borgerservice. Politiet efterforsker sagen.

Kriminelle hackere har angrebet offentlige computere på biblioteker og borgerservice flere steder i landet for at stjæle borgeres cpr-numre og måske anden data, skriver Kommunernes Landsforening i en pressemeddelelse.

»Det er et organiseret angreb, hvilket gør det utroligt svært at dæmme op for som offentlig myndighed. Derfor sætter vi benhårdt ind med en række målrettede initiativer, så kommunerne kan få lukket de huller, der måtte være i sikkerheden. Vi kan ikke fortælle præcist, hvad vi gør, for det er information, de kriminelle gerne vil have fat i - men vi gør alt, hvad vi kan, så borgerne trygt kan bruge de computere, som er til rådighed på bibliotekerne mv.,« siger direktør i KL Christian Harsløf i pressemeddelelsen.

Læs også: Computerløse borgere rådes til farlige NemID-login på offentlige computere

Han understreger også, at det offentlige ikke kan garantere sig helt mod lignende angreb fremover, fordi de kriminelle hele tiden finder nye huller og måder at bryde loven på. Samtidig er det vigtigt, at især ældre borgere har mulighed for at komme på biblioteket og få hjælp med it-opgaver.

»Det er stadig vigtigt, at man som borger selv er opmærksom på sin egen it-sikkerhed. Det gælder både derhjemme, og når man benytter en offentlig computer. Den her sag er en reminder om, at it-angreb kun bliver mere og mere avancerede, så derfor skal man virkelig tænke sig om, når man færdes på nettet,« siger Christian Harsløf.

Det er endnu usikkert, hvor mange cpr-numre, der er tale om, og hvad hackerne har gjort for at skaffe sig adgang til dem, men politiet er i gang med at efterforske. De har også taget kontakt til Nets, som sørger for at spærre ofrenes Nemid.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Emil Kampp

Det er stadig vigtigt, at man som borger selv er opmærksom på sin egen it-sikkerhed.

Han understreger også, at det offentlige ikke kan garantere sig helt mod lignende angreb fremover, fordi de kriminelle hele tiden finder nye huller og måder at bryde loven på.

Hvis man ved, at man ikken kan garantere borgernes rettigheder, og man ikke har nogen konkrete målepunkter at vurdere en digitaliserings effektivitet imod, så kunne man måske trykke lidt på bremsen med at digitalisere ligegyldige ting som Kørekort, Buskort, etc. Og da slet ikke ligge det ind bag CPR/NemID medmindre det virkelig er så vigtigt.

  • 22
  • 0
#3 Louise Klint

»Det er stadig vigtigt, at man som borger selv er opmærksom på sin egen it-sikkerhed. Det gælder både derhjemme, og når man benytter en offentlig computer. Den her sag er en reminder om, at it-angreb kun bliver mere og mere avancerede, så derfor skal man virkelig tænke sig om, når man færdes på nettet,« siger Christian Harsløf.

Jeg synes, det er en gang vås, ærligt talt.

Cpr-nummeret + en 4 cifret pinkode er universalnøglen på bibliotekerne.

Folk kan vanskeligt komme uden om at taste deres cpr-nummer ind på bibliotekernes computere, hvis de fx. skal printe.

Der findes enkelte computere, på bibliotekerne, hvor man ikke skal reservere en tidsperiode og logge ind (og de kan være optaget), men ellers foregår det, mig bekendt, således, hvis man fx. skal benytte bibliotekets printer:

Har man ikke sin egen bærbare med, logger man ind på en af bibliotekets maskiner (med egen ovennævnte cpr/kode). Herefter logger folk ind på deres mail, hvis dokumentet ligger dér, det kan også være i e-boks (NemID), eller nogle har haft et usb-stick med. Dokumentet åbnes (det kan være en skoleopgave, private og personlige papirer eller en koncertbillet, fx.) hvorefter man også skal logge ind på sin printkonto (anden, valgfri kode), hvortil man kan ”tanke op” via sit betalingskort.

Så jeg gad godt at vide, hvor mange af ovennævnte koder og adgange tyvene har fået fat i i denne omgang. Hvor meget har været koblet sammen her?

  • 11
  • 0
#5 Kenneth Raarup Dornhoff

Det er endnu usikkert, hvor mange cpr-numre, der er tale om, og hvad hackerne har gjort for at skaffe sig adgang til dem, men politiet er i gang med at efterforske. De har også taget kontakt til Nets, som sørger for at spærre ofrenes Nemid.

Jeg håber sandelig, at kommunerne sørger for at underrette de berørte personer og orientere om, at bl.a. deres NemID spærres. Ellers har vi en god sag for Datatilsynet.

Underretningen kommer dog uden tvivl som brev i e-Boks ... efter spærringen af NemID har fundet sted. ;-)

  • 7
  • 0
#7 Søren Koch

Underretningen kommer dog uden tvivl som brev i e-Boks ... efter spærringen af NemID har fundet sted. ;-)

Og her har vi så vinderen, for det er utvivlsomt sådan det vil blive gjort..

(lidt lige som den email jeg fik for snart mange år siden da jeg skulle skifte passwod til min arbejdsemail og fik at vide at jeg vide at der ville gå noget tid inden det ville træde i kraft og at jeg ville få en mail når det var sket.....)

  • 4
  • 0
#8 Steen Bundgaard

vi lervrede for en del år siden computere til de lokale skoler, i starten satte vi et pci kort i, kan ikke huske navnet, så blev computeren sat tilbage til Admin opsætningen og intet var gemt på selve pc'en,de blev sennere udfaset til fordel for et program, mener det hed " deepfreeze " som gjorde det samme, jeg kan huske vi var på et kursus, hvor man formaterede harddisken hvorefter den blev genstarte og startede normalt op

  • 2
  • 0
#9 Steen Bundgaard

vi lervrede for en del år siden computere til de lokale skoler, i starten satte vi et pci kort i, kan ikke huske navnet, så blev computeren sat tilbage til Admin opsætningen og intet var gemt på selve pc'en,de blev sennere udfaset til fordel for et program, mener det hed " deepfreeze " som gjorde det samme, jeg kan huske vi var på et kursus, hvor man formaterede harddisken hvorefter den blev genstarte og startede normalt op

  • 1
  • 0
#10 Torben Mogensen Blogger

Det er ikke svært at finde CPR numre eller gætte dem, hvis man kender fødselsdatoer og køn. Så konsekvensen bør være, at kendskab til CPR nummer alene ikke skal give adgang til noget som helst eller tillade folk at købe mobilabonnementer, låne penge osv.

Så man bør indføre en lov, der siger, at ethvert lån, abonnement eller lignende, der er indgået udelukkende med CPR-nummer (og evt. emailadresse) som legitimation ikke behøver at blive (tilbage)betalt. Og det er butikkernes ansvar at dokumentere, at de har fået gyldig legitimation, enten i form af NemID eller billeddokumentation. Så holder de nok op med den praksis.

Jeg er ikke voldsomt bekymret over, at hackere kan stjæle loginoplysninger til NemID. Der er trods alt også engangskoder, man ikke så nemt kan hacke sig til (så længe det er med papkort).

  • 9
  • 0
#12 Klavs Klavsen

Som jeg forstår det, vil MitID implementere et setup magen til den Yubikey man kan købe idag - hvor man har sin private nøgle på key'en og denne IKKE kan stjæles. De kan så keylog'e koden til den fysiske nøgle -men de kan IKKE lave nogle bank operationer uden at have stjålet den fysiske nøgle.

Det burde gøre det noget sværere - og er nok den bedste måde at erstatte NemID kode-kortet på - såfremt man også lige slår en "touch-per-operation" requirement til (gør vi altid på vores yubikeys) - så hackere der har live kontrol over computeren - heller ikke kan udføre operationer på ens vegne (da usb stick'en så vil blinke og afvente at nogen rør den fysisk - og det gør man ikke, hvis man ikke ved man er igang med en operation der kræver det). Tilbage i det scenarie ville være en mulighed for race condition (at snige sig ind hvis de kan se man er "lige ved" at lave en operation der kræver fysisk touch - og så få sin egen ind foran - så brugeren alligevel rør.

Skal vi udover dem, skal vi kigge på den tyske løsning (bank id hedder den vist), hvor man har en seperat enhed, der viser hvad operationen rent faktisk ER - før man kan trykke godkende.

  • 4
  • 0
#13 Christian Nobel

Så konsekvensen bør være, at kendskab til CPR nummer alene ikke skal give adgang til noget som helst eller tillade folk at købe mobilabonnementer, låne penge osv.

CPR nummer systemet bør skrottes/genopfindes/kald det hvad du vil, således at CPR nummeret udelukkende er en ikke informationsbærende identifikator, som ikke fungerer som andet end pointer til personen - det vil også betyde at "tyveri" af et CPR nummer er tindrende ligegyldigt, da det ingen værdi har i sig selv, og pointeren kan skiftes, uden det betyder noget fsva. den person den peger på.

  • 3
  • 0
#14 Tommy Calstrup

Deepfreeze

Bruges allerede i nogle kommuner, problemet er bare, at ikke alle gidder genstarte PC'en, før de tager den i brug, så de får en helt ren maskine, eller bare gøre det, efter brug, så andre ikke kan finde dine spor, og så hjælper det jo ikke noget, uanset hvor meget sikkerhed, du læsser på maskinparken.

  • 1
  • 0
#15 Kjeld Flarup Christensen

Hvem bruger egentligt en computer på biblioteket til CPR relaterede ting? De fleste har selv udstyr.

Derfor kan man godt frygte at det er de mindre IT kyndige som ikke selv har PC, der ryger i fælden, og derfor er mindre erfarne med de trusler der eksisterer.

  • 5
  • 0
#16 Lone Bech

Folk kan vanskeligt komme uden om at taste deres cpr-nummer ind på bibliotekernes computere

Man kan stadig få et lånekort med en talkode + selvvlagt pinkode, som man bruger i stedet for cpr. Det har jeg brugt alle årene siden digitaliseringen af bib-tjenesterne. Samme princip så jeg gerne udbredt til andre tjenester, gør det mere bøvlet for hackere.

Måder, cpr kan lokkes ud af folk på? En meget simpel kunne være - jf. egen oplevelse engang på min egen pc - at der i formularen istedet for stjerner vises tallene selv, men med meget, meget lille font. Så jeg så det først efter at være begyndt at indtaste... Standsede derfor op, genstartede pc'en, og nu var formularen ok. (Som jeg husker det, det er nogle år siden).

  • 1
  • 0
Log ind eller Opret konto for at kommentere