Kriminelle stjæler cpr-numre fra bibliotekscomputere: »Det er et organiseret angreb«

8. september 2020 kl. 14:0620
Kriminelle stjæler cpr-numre fra bibliotekscomputere: »Det er et organiseret angreb«
Illustration: Mikkel Meister.
It-kriminelle har stjålet cpr-numre og måske anden data fra personer, som har brugt offentlige computere på biblioteker og borgerservice. Politiet efterforsker sagen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Kriminelle hackere har angrebet offentlige computere på biblioteker og borgerservice flere steder i landet for at stjæle borgeres cpr-numre og måske anden data, skriver Kommunernes Landsforening i en pressemeddelelse.

»Det er et organiseret angreb, hvilket gør det utroligt svært at dæmme op for som offentlig myndighed. Derfor sætter vi benhårdt ind med en række målrettede initiativer, så kommunerne kan få lukket de huller, der måtte være i sikkerheden. Vi kan ikke fortælle præcist, hvad vi gør, for det er information, de kriminelle gerne vil have fat i - men vi gør alt, hvad vi kan, så borgerne trygt kan bruge de computere, som er til rådighed på bibliotekerne mv.,« siger direktør i KL Christian Harsløf i pressemeddelelsen.

Han understreger også, at det offentlige ikke kan garantere sig helt mod lignende angreb fremover, fordi de kriminelle hele tiden finder nye huller og måder at bryde loven på. Samtidig er det vigtigt, at især ældre borgere har mulighed for at komme på biblioteket og få hjælp med it-opgaver.

»Det er stadig vigtigt, at man som borger selv er opmærksom på sin egen it-sikkerhed. Det gælder både derhjemme, og når man benytter en offentlig computer. Den her sag er en reminder om, at it-angreb kun bliver mere og mere avancerede, så derfor skal man virkelig tænke sig om, når man færdes på nettet,« siger Christian Harsløf.

Artiklen fortsætter efter annoncen

Det er endnu usikkert, hvor mange cpr-numre, der er tale om, og hvad hackerne har gjort for at skaffe sig adgang til dem, men politiet er i gang med at efterforske. De har også taget kontakt til Nets, som sørger for at spærre ofrenes Nemid.

20 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
21. september 2020 kl. 11:35

logout er nok, men gør folk det?

Dem med sølvpapirs hatte genstarter før under og efter, de fleste napper bare den nærmeste tændte maskine, og forlader den, når de er færdige, uanset hvor meget skiltning, der sættes op om lige, at klikke på afslut, efter brug.

Der kunne naturligvis ansættes en barnepige, men det tillader budgettet ikke.

16
14. september 2020 kl. 17:16

Er det overhoveder nødvendigt med hardware? Kan den ikke bare kører en "container", som genstartes ved hvert login, på den måde er det altid en clean no-state session man starter?

15
11. september 2020 kl. 13:40

Folk kan vanskeligt komme uden om at taste deres cpr-nummer ind på bibliotekernes computere

Man kan stadig få et lånekort med en talkode + selvvlagt pinkode, som man bruger i stedet for cpr. Det har jeg brugt alle årene siden digitaliseringen af bib-tjenesterne. Samme princip så jeg gerne udbredt til andre tjenester, gør det mere bøvlet for hackere.

Måder, cpr kan lokkes ud af folk på? En meget simpel kunne være - jf. egen oplevelse engang på min egen pc - at der i formularen istedet for stjerner vises tallene selv, men med meget, meget lille font. Så jeg så det først efter at være begyndt at indtaste... Standsede derfor op, genstartede pc'en, og nu var formularen ok. (Som jeg husker det, det er nogle år siden).

14
9. september 2020 kl. 15:43

Hvem bruger egentligt en computer på biblioteket til CPR relaterede ting? De fleste har selv udstyr.

Derfor kan man godt frygte at det er de mindre IT kyndige som ikke selv har PC, der ryger i fælden, og derfor er mindre erfarne med de trusler der eksisterer.

13
9. september 2020 kl. 13:15

Deepfreeze

Bruges allerede i nogle kommuner, problemet er bare, at ikke alle gidder genstarte PC'en, før de tager den i brug, så de får en helt ren maskine, eller bare gøre det, efter brug, så andre ikke kan finde dine spor, og så hjælper det jo ikke noget, uanset hvor meget sikkerhed, du læsser på maskinparken.

12
9. september 2020 kl. 11:47

Så konsekvensen bør være, at kendskab til CPR nummer alene ikke skal give adgang til noget som helst eller tillade folk at købe mobilabonnementer, låne penge osv.

CPR nummer systemet bør skrottes/genopfindes/kald det hvad du vil, således at CPR nummeret udelukkende er en ikke informationsbærende identifikator, som ikke fungerer som andet end pointer til personen - det vil også betyde at "tyveri" af et CPR nummer er tindrende ligegyldigt, da det ingen værdi har i sig selv, og pointeren kan skiftes, uden det betyder noget fsva. den person den peger på.

11
9. september 2020 kl. 11:22

Som jeg forstår det, vil MitID implementere et setup magen til den Yubikey man kan købe idag - hvor man har sin private nøgle på key'en og denne IKKE kan stjæles. De kan så keylog'e koden til den fysiske nøgle -men de kan IKKE lave nogle bank operationer uden at have stjålet den fysiske nøgle.

Det burde gøre det noget sværere - og er nok den bedste måde at erstatte NemID kode-kortet på - såfremt man også lige slår en "touch-per-operation" requirement til (gør vi altid på vores yubikeys) - så hackere der har live kontrol over computeren - heller ikke kan udføre operationer på ens vegne (da usb stick'en så vil blinke og afvente at nogen rør den fysisk - og det gør man ikke, hvis man ikke ved man er igang med en operation der kræver det). Tilbage i det scenarie ville være en mulighed for race condition (at snige sig ind hvis de kan se man er "lige ved" at lave en operation der kræver fysisk touch - og så få sin egen ind foran - så brugeren alligevel rør.

Skal vi udover dem, skal vi kigge på den tyske løsning (bank id hedder den vist), hvor man har en seperat enhed, der viser hvad operationen rent faktisk ER - før man kan trykke godkende.

9
9. september 2020 kl. 10:44

Det er ikke svært at finde CPR numre eller gætte dem, hvis man kender fødselsdatoer og køn. Så konsekvensen bør være, at kendskab til CPR nummer alene ikke skal give adgang til noget som helst eller tillade folk at købe mobilabonnementer, låne penge osv.

Så man bør indføre en lov, der siger, at ethvert lån, abonnement eller lignende, der er indgået udelukkende med CPR-nummer (og evt. emailadresse) som legitimation ikke behøver at blive (tilbage)betalt. Og det er butikkernes ansvar at dokumentere, at de har fået gyldig legitimation, enten i form af NemID eller billeddokumentation. Så holder de nok op med den praksis.

Jeg er ikke voldsomt bekymret over, at hackere kan stjæle loginoplysninger til NemID. Der er trods alt også engangskoder, man ikke så nemt kan hacke sig til (så længe det er med papkort).

9
8. september 2020 kl. 22:04

vi lervrede for en del år siden computere til de lokale skoler, i starten satte vi et pci kort i, kan ikke huske navnet, så blev computeren sat tilbage til Admin opsætningen og intet var gemt på selve pc'en,de blev sennere udfaset til fordel for et program, mener det hed " deepfreeze " som gjorde det samme, jeg kan huske vi var på et kursus, hvor man formaterede harddisken hvorefter den blev genstarte og startede normalt op

8
8. september 2020 kl. 22:04

vi lervrede for en del år siden computere til de lokale skoler, i starten satte vi et pci kort i, kan ikke huske navnet, så blev computeren sat tilbage til Admin opsætningen og intet var gemt på selve pc'en,de blev sennere udfaset til fordel for et program, mener det hed " deepfreeze " som gjorde det samme, jeg kan huske vi var på et kursus, hvor man formaterede harddisken hvorefter den blev genstarte og startede normalt op

7
8. september 2020 kl. 21:35

Underretningen kommer dog uden tvivl som brev i e-Boks ... efter spærringen af NemID har fundet sted. ;-)</p>
<p>

Og her har vi så vinderen, for det er utvivlsomt sådan det vil blive gjort..

(lidt lige som den email jeg fik for snart mange år siden da jeg skulle skifte passwod til min arbejdsemail og fik at vide at jeg vide at der ville gå noget tid inden det ville træde i kraft og at jeg ville få en mail når det var sket.....)

5
8. september 2020 kl. 20:03

Det er endnu usikkert, hvor mange cpr-numre, der er tale om, og hvad hackerne har gjort for at skaffe sig adgang til dem, men politiet er i gang med at efterforske. De har også taget kontakt til Nets, som sørger for at spærre ofrenes Nemid.

Jeg håber sandelig, at kommunerne sørger for at underrette de berørte personer og orientere om, at bl.a. deres NemID spærres. Ellers har vi en god sag for Datatilsynet.

Underretningen kommer dog uden tvivl som brev i e-Boks ... efter spærringen af NemID har fundet sted. ;-)

4
8. september 2020 kl. 18:50

Hvorfor ikke lave en Live-Session, så man genstarter computeren hver gang nogen har været henne og pille ved den. Så er man da over at nogen har lagt et eller andet ind på den, til den næste i rækken.

3
8. september 2020 kl. 16:38

»Det er stadig vigtigt, at man som borger selv er opmærksom på sin egen it-sikkerhed. Det gælder både derhjemme, og når man benytter en offentlig computer. Den her sag er en reminder om, at it-angreb kun bliver mere og mere avancerede, så derfor skal man virkelig tænke sig om, når man færdes på nettet,« siger Christian Harsløf.

Jeg synes, det er en gang vås, ærligt talt.

Cpr-nummeret + en 4 cifret pinkode er universalnøglen på bibliotekerne.

Folk kan vanskeligt komme uden om at taste deres cpr-nummer ind på bibliotekernes computere, hvis de fx. skal printe.

Der findes enkelte computere, på bibliotekerne, hvor man ikke skal reservere en tidsperiode og logge ind (og de kan være optaget), men ellers foregår det, mig bekendt, således, hvis man fx. skal benytte bibliotekets printer:

Har man ikke sin egen bærbare med, logger man ind på en af bibliotekets maskiner (med egen ovennævnte cpr/kode). Herefter logger folk ind på deres mail, hvis dokumentet ligger dér, det kan også være i e-boks (NemID), eller nogle har haft et usb-stick med. Dokumentet åbnes (det kan være en skoleopgave, private og personlige papirer eller en koncertbillet, fx.) hvorefter man også skal logge ind på sin printkonto (anden, valgfri kode), hvortil man kan ”tanke op” via sit betalingskort.

Så jeg gad godt at vide, hvor mange af ovennævnte koder og adgange tyvene har fået fat i i denne omgang. Hvor meget har været koblet sammen her?

2
8. september 2020 kl. 15:18

Det er stadig vigtigt, at man som borger selv er opmærksom på sin egen it-sikkerhed.

Han understreger også, at det offentlige ikke kan garantere sig helt mod lignende angreb fremover, fordi de kriminelle hele tiden finder nye huller og måder at bryde loven på.

Hvis man ved, at man ikken kan garantere borgernes rettigheder, og man ikke har nogen konkrete målepunkter at vurdere en digitaliserings effektivitet imod, så kunne man måske trykke lidt på bremsen med at digitalisere ligegyldige ting som Kørekort, Buskort, etc. Og da slet ikke ligge det ind bag CPR/NemID medmindre det virkelig er så vigtigt.

1
8. september 2020 kl. 14:48

Er cyberangreb ikke altid avancerede og organiseret for kommuner der deres biblioteker?