Kritisk CPR-hack: Forsikringsselskab lod alle og enhver snuse rundt i CPR-registret

Kritisk CPR-hack: Forsikringsselskab lod alle og enhver snuse rundt i CPR-registret
Illustration: IF Forsikring.
Sikkerhedshullet er teknisk svært at udnytte, mener IF Forsikring. It-sikkerhedseksperter er ganske uenige.
29. april 2020 kl. 05:00
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

IF Forsikring har siden juni 2018 ladet alle og enhver snuse rundt i den officielle danske CPR-database. Et sikkerhedshul på selskabets hjemmeside har nemlig gjort, at alle med basal it-teknisk snilde kunne trække CPR-numre og tilhørende adresser ud gennem IF Forsikrings hjemmeside.

Og på den måde gennemskue, hvem CPR-nummeret tilhører.

»Det her er helt klart kritisk. Man har sådan set stille og rolig kunnet opbygge sit eget folkeregister, som man enten kan udnytte selv eller sælge. Den slags data er der altid nogen, der vil købe på det sorte net,« siger Anders Kusk, der er it-sikkerhedskonsulent hos sikkerhedsfirmaet Improsec og som har en fortid hos politiets cybercrime-enhed, NC3.

Version2 har tidligere bevist, hvordan man i Danmark kan svindle sig til nøglekort og andres telefonnummer - dette ville eksempelvis have været meget nemmere, hvis vi havde tilladt os at bruge ofrenes CPR-numre.

Siden der ikke umiddelbart er nogen begrænsning på antallet af CPR-opslag på hjemmesiden, kunne ondsindede hackere over næsten to år systematisk og automatiseret gennemgå databasen for CPR-numrene på, for eksempel, samtlige danske politikere.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
17
3. februar 2021 kl. 20:10

Kunne måske egentlig være en god use case for brug af standard Oauth2...

I stedet for "applikation x på telefonen ønsker at tilgå dine kontakter" ville det så være "Ubehøvlet Forsikring ønsker at tilgå følgende oplysninger: Alder, køn, postnummer" - uden at de så nødvendigvis behøvede at kende noget som helst andet - og slet ikke CPR.

16
3. februar 2021 kl. 15:28

Så vidt jeg husker, kan alle private få oplysninger fra CPR, med mindre man har navne og addressebeskyttelse. Det koster et mindre beløb (under 100 kr. for et udræk).

Jeg har på et tidspunkt fået en liste over alle de udtræk, som der blev gjort på mit CPR nummer. Jeg regner med, at vi stadigt kan bede om, at få sådan en liste. Når en virksomhed, eller en privat, laver et udtræk hos CPR, så registreres det, så vi har mulighed for at holde styr på, hvem der beder om oplysninger fra CPR om os. Da jeg fik listen, var det primært forsikringsselskaber der havde søgt oplysninger. Eneste, der havde søgt oplysninger, som jeg absolut intet havde med at gøre - eller vil have noget med at gøre - var Danmarks Radio...

Laver nogen udtræk om os, fra IF's hjemmeside, så burde vi kunne se af oversigten, at IF har bedt om oplysninger om os, med mindre de har hentet oplysningerne fra deres egen database, og ikke de aktuelle data direkte fra CPR.

15
3. maj 2020 kl. 14:30

Jeg undrer mig over hvofor et sikkerhedshul hos 3. part kan give adgang til andres data hos CPR?

I dette tilfælde bruges det i salgsøjemed, til at regne et tilbud ud før der er etableret et kunde forhold. Det er en 'bekvem' måde at få fremskaffet alle de data der skal til for at udregne et korrekt tilbud. Det giver også forsikringsselvskabet en eviggyldig indifikation af at person x har spurgt på en forsikring.

Linket til person registeret er desværre nødvendigt aht. skat, og således at efteladte ved dødsfald kan finde ud af hvilke konti, pensioner, og forsikringer en person har.

Der er flere problemer: Virksomhederne angiver på tro og love at nu er person x kunde hos dem, og de derfor er i den fulde ret til at oprette et CPR abonnement. Der kunne jeg godt tænke mig at vende systemet om, således at borgeren skulle lukke firmaet ind.

Authentication foregår ofte ved at man opgiver Person nummer, navn og addresse, og personen i den anden ende af telefonen chekker om tingende stemmer. Her kunne jeg godt tænke mig at der blev brugt en engangskode, som blev valideret af personregisteret.

14
1. maj 2020 kl. 17:15

Jeg undrer mig over hvofor et sikkerhedshul hos 3. part kan give adgang til andres data hos CPR?

Det er vel noget historisk noget? I De Gode Gamle Dage var CPR noget hemmeligt kode som nogen inde på SKAT og hos Kommunen kunne tilgå med en 24x80 terminal, måske endda een af de smarte fra IBM hvor man kunne lave formularer på.

Så kom Digitaliseringen og nogen fandt på at man kunne putte CPR på et URL-interface og tage penge for hvert opslag og endda genbruge den gamle mainframe (måske med noget JavaBeans fra 1990'erne ovenpå, dog mest for at retfärdiggöre et IT-projekt på 100 Mio DKK for at få CPR "på Internettet").

Nu kunne alle slå op i CPR. Abbonenter, Web-scrapere, Hackere ... og nu er det så også et problem fordi man aldrig er gået väk fra antagelsen om at CPR er et shemmeligt password til hele Forrretningen Danmark, både de Offentlige og de Private aftdelinger!

13
30. april 2020 kl. 15:44

Som Thomas Kobber Panum er inde på, så var det en jurist (formodentlig en dpo) der stod for svaret fra IF...........

Det viser så igen svagheden ved en IKKE statslig certificering af uddannelsen til DPO.

Enhver id... med et 5 timers kursus kan kalde sig dpo og som sådan stå som buffer mellem en tåbelig virksomhedskultur som f.eks. hos IF og så den statslige myndighed Datatilsynet.

Monstro det altid har ligget i kortene, at bare en virksomhed er udspekuleret eller tåbelig nok, så slipper de for tiltale?

12
30. april 2020 kl. 11:10

Kan snart sagt alle og enhver ikke købe adgang til CPR?

Roden til nærmest samtlige udfordringer er, at CPR er gået fra at være en unik identifikation til at være en adgangsgiver. Det er jo helt katastrofalt, at man overhovedet skal holde sit CPR-nummer hemmeligt.

11
30. april 2020 kl. 07:00

Jeg undrer mig over hvofor et sikkerhedshul hos 3. part kan give adgang til andres data hos CPR? Der er i mine øjne noget helt galt med designet hos CPR, hvis alle der integrerer har adgang til for mere data end nødvendigt.

10
29. april 2020 kl. 18:34

Det er af afgørende betydning for borgernes datasikkerhed, at vi har Version2 til at tale med sikkerhedseksperter og forestå den nødvendige efterprøvning og offentliggørelse, når virksomheder ikke lytter. Det er en offentlig service, at I tager jer af sagen og snakker med relevante myndigheder!

Vi glæder os til opfølgningen!

8
29. april 2020 kl. 12:42

Jeg foratår det ikke, jeg er kun civilingeniør, men jeg har så fået mine prygl for ikke at "forstå" at alt er godt og positivt og SKAL omtales som sådan.

Prøv at forklare en kælling (køn underordnet, typebetragtning) at Facebook er ensbetydende med at forære sit privatliv til en amerikansk profileringsmaskine - de fatter det simpelthen ikke, men står bare med blanke øjne og er benovede, for FB er da bare åhh-så-godt, og vi er bare sådan nogle negative nogen.

6
29. april 2020 kl. 11:09

Sagen her vedrører it og GDPR.

MEN er det ikke endnu et eksempel på noget helt andet og meget overordnet i vores samfund - en variant af det som ses meget tydeligt i ethvert totalitært system: "Det er ikke min fejl - der er ingen fejl".

Det er som om selv de mest åbenlyse fejl, mangler, uhensigtsmæssigheder, osv, altid bortforklares eller fornægtes. En kendt, stor, krigsførende, angribende, magt brugte ordet "elastisk tilbagetrækning" for at gemme sandheden.

Hvad er det for en psykisk mekanisme, som får vores samfund til aldrig at tale klart og rent ud af posen, men istedet gemme det bag tågeslør af bortforklaringer ? Er det vores marketing samfund som kun kan tåle positiv omtale ?

Jeg foratår det ikke, jeg er kun civilingeniør, men jeg har så fået mine prygl for ikke at "forstå" at alt er godt og positivt og SKAL omtales som sådan.

5
29. april 2020 kl. 10:39

Det er korrekt. Men, hvis de bliver snuppet i at have vurderet det forkert, så falder der brænde ned. Så de må vurderer, hvad der har den største risk. At blive snuppet i at anmelde noget som de klart skulle have anmeldt, eller bare anmelde det med det samme for en sikkerhedsskyld.

Så kan man jo diskuterer om det er en god måde at gøre det. Men det er ikke sådan at bare fordi de kom frem til det ikke var en nødvendigt, så står de altså stadig til ansvar for den beslutning, hvis det åbenlyst viser sig det var nødvendigt.

4
29. april 2020 kl. 10:17

Jeg tror nu at iF Forsikring, bag om linjerne, får kvalificeret hjælp udefra til at vurdere og forstå konsekvenserne af denne fejl (læs: en ordentlig kindhest).

3
29. april 2020 kl. 08:44

Selvom det kan lyde usandsynligt, kom deres syn på sagen faktisk fra en jurist.

Min forståelse er at der en desværre en stor interesse konflik i GDPR lovgivningen [Jeg er ikke jurist].

GDPR (article 33, 1): "In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons."

Altså skal virksomheden selv vurdere først om de mener det datalæk som er sket kan medføre en risiko. Hvis de vurdere det ikke har (som de har en naturligt interesse i), skal de ikke indrappotere det.

2
29. april 2020 kl. 08:40

Det må vel betyde en kæmpe GDPR-bøde?! Det virker som om at hver gang sådan noget her sker, som desværre er ofte, så sker der ikke en skid.. Det er godt nok slapt.

1
29. april 2020 kl. 08:27

Imunitet over for fakta og manglende forståelse for lovgivning. Jeg tror at IF snart skal have ny IT-Chef eller at IT-Chefen ikke længere får lov at tale med pressen før Juridisk afdeling og PR afdelingen har været inde over. Kort sagt en degradering.