Mere end hundrede pas fra dansk virksomhed svømmer rundt på dark web: »Jeg er skræmt, det er uhyggeligt«

38 kommentarer.  Hop til debatten
Mere end hundrede pas fra dansk virksomhed svømmer rundt på dark web: »Jeg er skræmt, det er uhyggeligt«
Illustration: Felicia Österlin | Ingeniøren .
Billeder af pas er ‘guf for identitetstyve’, vurderer ekspert. Alligevel bliver ofrene først advaret om, at deres pas er kompromitterede, da Version2 skriver om lækket.
29. september 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I en afkrog på det mørke net kan hvem som helst hente 560 gigabyte data, der blandt andet indeholder danske og udenlandske medarbejderes dybt personlige data.

Det viser en undersøgelse, Version2 har lavet af det massive datalæk fra den danske legeplads-kæmpe, Kompan, der for nylig klarede sig igennem et ransomwareangreb. Undersøgelsen viser, at selskabet der omsætter for 880 millioner kroner om året, mistede meget mere end adgangen til sine data. Kompan mistede også kontrollen over mange af dem.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
38 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
39
4. oktober 2021 kl. 15:17

Der var ikke billede på dankort fra begyndelsen

Lov om betalingskort er fra 1994.

De første Dankort udstedte bankerne i 1993, selvom det var velkendt at det lovforberedende arbejde var i gang.

Det er iøvrigt interessant at læse hvordan der dengang var politikere, som kærede sig om danskernes privatliv. I stærk kontrast til dagens tilstand.

38
3. oktober 2021 kl. 17:17

PHK om hvorfor billedet på dankortet forsvandt:

Det er en kendt sag at billedet forsvandt fordi en dansk bank tabte 30000 kroner i byretten, der, helt korrekt, besluttede at det kunne ikke være ejerens problem at en spansk kvinde kunne købe en dyr pels på et stjålet DanKort med et billede af en mand med fuldskæg.</p>
<p>Argumentet for at fjerne billedet var at "chippen forbedrede sikkerheden".

https://www.version2.dk/blog/ansvar-dankort-sikkerhed-7013

37
3. oktober 2021 kl. 17:07

Der var ikke billede på dankort fra begyndelsen

36
3. oktober 2021 kl. 11:49

"Jo, men der var ikke krav om billedet, det var der bare som en lettelse."

Billedet var et folketingskrav, da bankerne ville indføre Dankortet. Jeg er ikke klar over om det faktisk blev lov, eller om bankerne bare rettede ind.

Det lykkedes så bankerne at få kravet fjernet, da man indførte chip i kortet.

Undskyldningen var omkostninger, hvilket selvfølgeligt ikke rigtigt står i forhold til det gebyr de tager for at udstede et nyt kort.

34
3. oktober 2021 kl. 09:51

Hvor mange kreditkort med billede har du set?

Nu skriver Jens P Andersen jo om den tid, hvor der fandtes fluesmækkere. Mon ikke, der også var billede på dit dankort dengang.

Jeg ved ikke om det var et specielt dansk fænomen, men de havde det tilsyneladende ikke i USA. Jeg kan huske en ekspedient der viste mit Visa/Dankort til sin kollega og sagde "This gentleman has a personalized Visa".

32
3. oktober 2021 kl. 00:14

"Vi kan også via systmet opbevare andre identifikationsoplysninger som biometrisk identifikation, f.eks. fingeraftryk, DNA og lignende."

Her er det på sin plads at overveje hvilken offentlig myndighed, som har vist sig værdig til at opbevare så følsomme oplysninger.

Jeg kan ikke komme i tanker om nogen.

31
3. oktober 2021 kl. 00:10

"Dataene skal ikke opbevares hos bankerne selv, men hvis de vil se et billed af kunden, så skal de hente dem via en sikker metode fra det offentlige."

Det er ikke et billede, som er problemet. Og dermed ikke behov for noget kompliceret system.

Det er en kopi af billedlegitimation, som man vil have liggende, i realiteten tilgængeligt for 10000-vis af mennesker.

Og samtidigt giver man adgang til at man bare ved at sende en sådan kopi kan oprette NemKonto etc.

Det er simpelthen at levere elementerne til tyveri og svindel på et sølvfad.

30
2. oktober 2021 kl. 23:44

"Ikke grundet alle mulige skrøner."

Sagen blev jo sendt i landsretten, så det kan findes frem, selvom det er pre-google, og dermed lidt besværligt.

Skrøne er det ikke

29
2. oktober 2021 kl. 10:07

... men der er ikke nogen af os, der har dårlig samvittighed. Det er ikke et valg, vi har truffet, der har gjort, at vi bliver ramt af det her. Det er som et lyn, der slår ned.

Stor sympati her fra for alle de stakler der bliver ramt af et så kompetent, ja nærmest omnipotent, lyn at det kan afkryptere alle personfølsomme data og så genkryptere dem med russiske koder. Eller er det måske endda så grelt, at det endda et lynet der har været ude og affotografere jeres medarbejderes pas? Og jeres NemID (suk!)? For derefter at tvinge jer til at ignorere advarsler fra fagmedier, og undlade at advare jeres medarbejdere?

Og så kom det endda som et lyn fra en mørkegrå og truende himmel — hvem kunne rimeligvis have forudset det?

Måske en kompetent og ansvarsbevidst ledelse. Alfaderen forbarme sig.

28
1. oktober 2021 kl. 19:04

Sikke en vandrehistorie.

Tidligere kunne man betale på to måder. Via magnetstribe og pinkode eller via slæde og underskrift.

Der var krav om, at man i sidstnævnte tilfælde skulle komtrollere underskrift og billede på kortet.

Da muligheden for at betale via slæde er forsvundet, fjernede man også billedet.

Ikke grundet alle mulige skrøner.

27
30. september 2021 kl. 23:36

I stedet for, at vi skal aflevere kopi af vores sygesikringsbevis, kørekort, pas og anden billedlegimentation til banker og virksomheder, kunne vi så ikke finde en anden løsning, så man giver bankerne den nødvendige billedlegitimation via NemID? De kan derved tjekke, at vi er den vi er, f.eks. når vi opretter kontoen.

Vi kan også via systmet opbevare andre identifikationsoplysninger som biometrisk identifikation, f.eks. fingeraftryk, DNA og lignende. Jeg tror, at det vil være mere sikkert, end at de pågældende oplysninger opbevares hos politiet. Vi vil derved også kunne få log på hver gang at data hentes, uanset om det er lufthavnen eller politiet, og oplysninger om politidistrikt mv. der har hentet vores biometriske data.

26
30. september 2021 kl. 23:25

For at se fotoet, kræves et login med virksomhedens nemId.

Eventuelt kan man lave det sådan, at der skal uploades et foto til NemID hvert 5'te år, og at ingen foto kan slettes igen. Oploades noget forkert, kan det måske noteres som kommentar, men aldrig slettes. Det betyder, at man altid ser fotoet med det forrige foto, taget 5 år tidligere for at tjekke det er samme person.

25
30. september 2021 kl. 23:15

I stedet for, at vi skal aflevere kopi af vores sygesikringsbevis, kørekort, pas og anden billedlegimentation til banker og virksomheder, kunne vi så ikke finde en anden løsning, så man giver bankerne den nødvendige billedlegitimation via NemID? De kan derved tjekke, at vi er den vi er, f.eks. når vi opretter kontoen.

Dataene skal ikke opbevares hos bankerne selv, men hvis de vil se et billed af kunden, så skal de hente dem via en sikker metode fra det offentlige. Såvel den sikre metode, som opbevaringen af billedmateriale, bliver dermed ikke den enkelte bank eller virksomheders ansvar. Og, det offentlige holder styr på hvem der henter billederne, og det gøres via et program/app, der sikrer data ikke kan kopieres elektronisk, eller skrives ud på papir. For at virksomheder kan hente oplysningerne, skal de dertil være registreret hos det offentlige. Endeligt, kan være en fordel, at det offentlige har billeder der bruges, som ikke er lovlige at anvende på pas og legimentationskort, men som er ok at bruge af banken, og andre der har brug for at verificere en person ud fra udseende. De billeder som hentes, kan derved ikke bruges til at lave falske pas, kørekort eller legitimationskort. Jeg tror, at det er mere sikkert, at vores foto kun er opbevaret et sted, og at der holdes styr på hvem som henter det, samt at vi selv kan få udskrift af en log af hvem der har hentet vores fotos. Det muliggør også, at man kan lave noget software, som gør det forholdsvis svært at digitalt kopiere fotoet, og umuligt at udskrive den på printer. For at se fotoet, kræves et login med virksomhedens nemId.

24
30. september 2021 kl. 17:07

Indlæg 22 Jørgen Olsen har ret. Her er paragrafferne og vejledningen som jeg læser dem.

Hvidvaskloven (herefter MLA = Money laundering law) LBK nr 1062 af 19/05/2021 kræver ikke billedlegitimation til identifikation af en kunde.

MLA § 11 stk 1 (a) forlanger for en person med CPR nummer kun CPR nummer og navn til identifikation. Jørgen Olsen udelov navnet, det vil jeg ikke bebrejde ham, men nu tales der paragraffer, så jeg vil være lidt mere præcis.

MLA § 11 stk 2 angiver kravene til dokumentationen af CPR nummer og navn. Der nævnes ikke billedlegitimation og dermed er der i MLA ikke lovgrundlag for at kræve billedlegitimation til identifikation.

Finanstilsynets vejledning til MLA nummer 9864 af 28. october 2020 punkt 9.3 “Eksempler på kontrol ved en pålidelig og uafhængig kilde”, “Fysiske personer" skriver da også helt klokkeklart "Der er ikke krav om, at kunden fremviser billedlegitimation."

Så Finanstilsynet har ryggen fri og har ikke umiddelbart givet bankerne eller forsikringsselskaberne lov til at forlange billedlegitimation til identifikation. Finanstilsynet kan ikke bebrejdes bankernes/forsikringsselskabernes opsamling af billedlegitimation, baseret på citatet fra vejledningen.

Men Finanstilsynet er ikke klare i spyttet, fordi de skriver lige derefter at "I de tilfælde, hvor kunden møder fysisk op hos virksomheden, vil kontrol i form af billedlegitimation, f.eks. pas eller kørekort, dog give virksomheden en øget sikkerhed for, at kunden er den person, som kunden udgiver sig for at være. Det vil især være aktuelt i tilfælde, hvor der er tale om høj risiko.”

Høj risiko er defineret i MLA (jeg vil undlade § numre og bilag numre) og for stort set alle lønmodtagere i Danmark er risikoen ikke høj. Høj risiko er f. eks. hvis bor i humbugstan.

At et pas, kørekort eller anden billedlegitimation fremvises til kontrol af identitet er jo ikke det samme som at banken/forsikringsselskabet skal have en kopi.

Som indlæg #9 Jan Heisterberg skriver, så burde banken bare skrive, at de har set identifikation, f. eks. Pas. Så har banken ryggen fri.

MLA er baseret på direktiv 2015/849/EU af 20. maj 2015 og direktiv 2018/843/EU af 30. maj 2018. Ingen af dem nævner billedlegitimation.

Som Jørgen Olsen skriver i indlæg, hvis banken forlanger billedlegitimation, så bed om lov nummer, § nummeret, styk nummeret og eventuelt sætnings og/eller punkt nummer og en udskrift af paragraffen (helst underskrevet af bankens medarbejder med læselig underskrift)

Og så undskyld for at vi er ved at komme ldt langt væk fra artiklens emne

23
30. september 2021 kl. 13:43

"Hvidvaskningsloven" siger intet om billed ID...det er blot sådan bankerne tolker det...

Da jeg protesterede til min bank, Lån &. Spar Bank, for vel snart to år siden, fik jeg at vide at de i første omgang var gået med risikovurderinger (vi kender jo hinanden); men at Finanstilsynet ikke fandt dette tilstrækkeligt, og banken blev pålagt at indhente billed ID.

Men inspektøren fra Finanstilsynet kan naturligvis være inspireret af hvordan andre banker har handlet. Jyske Bank var f.eks. meget hurtigt ude med krav om billed ID og trusler om at opsige samarbejdet.

Korrekt! - Jeg har ikke megen respekt for jurister.

22
30. september 2021 kl. 13:27

"Hvidvaskningsloven" siger intet om billed ID...det er blot sådan bankerne tolker det... Når bankerne kommer med " iflg. hvidvaskningsloven...." så spørg blot om hvilken paragraf...og fortæl dem så præcist hvad der står i den paragraf de henholder sig til: at det kun er et CPR nummer de har ret til... Så jeg har ikke mit billede/kopi af pas liggende i min bank... Og når f.eks ejendomsmæglere også har villet have billede ID så har de ved et "uheld" fået et billede af Anders And og det har aldrig affødt nogen reaktion.

21
30. september 2021 kl. 11:13

Offline systemer er kun lidt sværere at hacke end online systemer, men at trække store mængder data fra dem er rigtigt svært. Derfor bør følsomme oplysninger altid opbevares offline. Man kan så flytte data til og fra systemet med USB-sticks eller lignende. En medarbejder kan altså stadig stjæle data, men en hacker fra den anden ende af verden kan ikke.

20
29. september 2021 kl. 21:52

Sjovt nok har min bank aldrig bedt om billedlegitimation. Siger ikke hvad det er for en, blot at den har et stort hovedkontor idet Sønderjydske.

19
29. september 2021 kl. 14:57

men hvad koster det at opdatere samlingen af billed-ID fra fem millioner danskere? - Som alle banker gjorde for et par år siden.

Det er sådan set ligegyldigt, så længe man sikrer at det er et krav hos alle. Så kan omkostningen læsses over på kunderne.

Det har så også den effekt, som også disse krav om "compliance-officers", der er kommet en del af.

Det rammer de små sparekasser, som skal rette ind, selvom det ikke er relevant for deres forretning.

Det er jo ikke en post i Sønder-udby Sparekasse, som er tillokkende for finanstilsynets direktører.

18
29. september 2021 kl. 14:37

Datatilsynet kræver at bankerne indhenter kopier af, og opbevarer, billedlegitimation fra deres kunder - Siger banken. Også kunder de har indberettet oplysninger om i 25 år.

Beklager gutter - jeg har misinformeret jer ...

Det er 'Hvidvaskloven' Finanstilsynet bruger som løftestang for kravet om bankernes indsamling af billed-ID.

25 års kundehistorik, sporbare elektroniske transaktioner og flere ugentlige indlogninger med NemID er tilsyneladende ikke tilstrækkelig dokumentation småtskårne jurister.

@Gert: Ja, retssager er dyre; men hvad koster det at opdatere samlingen af billed-ID fra fem millioner danskere? - Som alle banker gjorde for et par år siden.

15
29. september 2021 kl. 13:43

Bankerne er før blevet ramt af at en medarbejder har udleveret penge til en person af et andet køn, og 60 år yngre end kontoens ejer. Bankerne vil jo gøre alt for at undgå ansvar, også når de opfører sig inkompetent.

Hvilket også var grunden til at billedet blev fjernet fra Dankortet.

Der går en historie på at en pige havde fået stjålet sit Dankort, og efterfølgende havde den skæggede, væsentligt ældre, mand hævet penge på hendes kort, uden kasseren havde reageret.

Ergo mente bankerne det var bedre at fjerne billedet, for så var det jo ikke mere dem der handlede forkert (!)

14
29. september 2021 kl. 13:35

Det burde være nok at en kompetent medarbejder ser ens legitimation og sætter sin digitale underskrift i systemet, at kunden er valideret dags dato.

Og her er det vigtigt at have sig for øje at bankerne begyndte at kræve kopi af pas, længe inden det var et krav fra finanstilsynet.

Det handler givetvis om at bankerne kan fraskrive sig ansvaret, ved at forlange at det er kunderne selv, som uploader en kopi.

Bankerne er før blevet ramt af at en medarbejder har udleveret penge til en person af et andet køn, og 60 år yngre end kontoens ejer. Bankerne vil jo gøre alt for at undgå ansvar, også når de opfører sig inkompetent.

At det så er endt som et krav fra Finanstilsynet kan nok tilskrives den meget tætte personkontakt mellem toppen af finanstilsynet og bankerne. Der er en del med et CV, der indeholder stillinger i både banker og finanstilsynet.

13
29. september 2021 kl. 13:09

Et offline system der gemmer på krypterede personfølsomme data burde være påkrævet - punktum.

Log af brugeraktivitet, konsekvens ved misbrug. Ekstra maskine + backup system burde være billigere end omkostningerne datalæk kan løbe op i.

Ja, det vil blive mere omstændigt at benytte - men også mere sikkert for dem der selv benytter systemet.

Ulven ER kommet, og så længe den er fredet må der tages forbehold i tide, før det er for sent. Ok, lam kommentar - for det er nemmere at være bag-klog end for-klog.

11
29. september 2021 kl. 12:47

@Anders

Det ved og forstår jeg. Men mit skjulte budskab var, at tiderne har ændret sig, og "dataindbrud" - som netop artiklen beskriver - er blevet et vilkår for alle. Det er jo ikke sikkert det har været et prioriteret synspunkt da "vejledningerne" bliver skrevet (at det kaldes en "vejledning", og at den har retsvirkning, synes at være dagens oxymoron).

Det giver anledning til følgespørgsmålet: hvordan beskyttes borgerne mod de forskellige "dataindbrud" ?

  • NemId og beskyttelse af kodekort ( OG app) er åbenlys

  • ikke-kopiering / billeddigitalisering af legitimationsdokumenter (pas, kørekort, sygesikringskort, lignende) synes indlysende.

Jeg tror jeg ved, at rejseselskaber - som laver rejser til visum-krævende lande - også benytter paskopier. Det er vel så ikke så smart. Yderligere husker jeg difust også at være bedt om foto af ******* til eet eller andet formål......

10
29. september 2021 kl. 11:58

@ Christian

Siger banken at Datatilsynet siger det - det er da vist den omvendte verden?</p>
<p>Måske finanstilsynet siger det.

Tjekkede lige - det er Finanstilsynet, siger banken.

@Jan: DJØF'ere skal ikke lave regler; men vejledninger, i overensstemmelse med Forordningen.

Forordninger har direkte retsvirkning. Men det kræver jo en faglig baggrund at fortolke forordninger og anden lovgivning korrekt.

Hvor mange domme er der faldet vedrørende GDPR siden Forordningen trådte i kraft?

9
29. september 2021 kl. 11:40

Uanset om det er den ene eller den anden myndighed, så er det da muligvis korrekt - men er det så en DJØFer som har lavet reglen uden at forstå implikationerne ?

Som skrevet, så BURDE det være tilstrækkeligt, at to bankmedarbejdere har set den fysiske legitimation OG med digital underskrift bekræftet det.

Som bekendt er det strafbart at lave gengivelser af pengesedler (mig bekendt), så hvorfor gælder det ikke for e.g. pas ?

8
29. september 2021 kl. 10:30

Datatilsynet kræver at bankerne indhenter kopier af, og opbevarer, billedlegitimation fra deres kunder - Siger banken. Også kunder de har indberettet oplysninger om i 25 år.

Siger banken at Datatilsynet siger det - det er da vist den omvendte verden?

Måske finanstilsynet siger det.

"GDPR" - siger man.

Og når vi så taler GDPR, så må man da formode at Kompan har indberettet dette meget alvorlige brud på GDPR, og at datatilsynet er ved at spidse bødepennen.

7
29. september 2021 kl. 10:17

Spørgsmålet er hvor mange af disse scans er nogle som medarbejderne selv har lavet og lagt på firmaets server? Kreditkort? Firmakreditkort har måske relevans, men i mindre grad private kort, med mindre der er politik om at man selv betaler rejser, og et internt rejsekontor så booker rejsen for en. Pas? Måske til visumansøgninger, jvf internt rejsekontor NemID? Måske firma-NemID, men aldrig (som i - Aldrig!) private NemID..

6
29. september 2021 kl. 10:08

Datatilsynet kræver at bankerne indhenter kopier af, og opbevarer, billedlegitimation fra deres kunder - Siger banken. Også kunder de har indberettet oplysninger om i 25 år.

"GDPR" - siger man.

Er jeg enig? - Bestemt ikke!

5
29. september 2021 kl. 09:43

Det er en meget kedelig og grænseoverskridende udvikling, at man som før, ikke kan nøjes med at møde personligt op og legitimerer sig, men der skal tages foto af ens mest private legitimation.

Det burde være nok at en kompetent medarbejder ser ens legitimation og sætter sin digitale underskrift i systemet, at kunden er valideret dags dato.

Jeg føler det er meget grænseoverskridende og ubehageligt at diverse banker / forsikringsselskaber, og efterhånden sikkert andre, skal ligge inde med de fotos.

Det er ikke sidste gang vi ser sådan en sag.

3
29. september 2021 kl. 09:18

Jeg har i flere tilfælde afleveret tilsvarende (billed af pas, kørekort, sundhedskort) til diværste pengeinstitutter. Da de ikke vender tilbage for at få billederne igen, må jeg gå ud fra, at de opbevarer disse.

Mit spørgsmål er så bare: Opbevarer bankerne disse forsvarligt, eller skal jeg en dag ud på dark web for at finde mig selv. Og hvad er forsvarligt?

2
29. september 2021 kl. 08:59

er vel egentlig at mappe hvilke data, du har og hvor de er? og næste skridt er at slette det, som ikke er 'needed'.

Det kan godt være, det er nice to have, men så må data gå ind under kategorien 'slet'

At man desuden har pas liggende på medarbejderes familie, må gå ind under kategorien 'tåbeligt' (kan godt finde en mere sigende kategori, men det lyder ikke så pænt)

1
29. september 2021 kl. 08:25

Det virker som om man måske lige skulle genoverveje om det virkeligt er nødvendigt at have kopier af medarbejderes personlige liggende i virksomheden og især i fuld læsbart format. Ja, det er bare nemmere at have dem liggende, MEN nogle gange må det godt være lidt besværligt.

Uden at være jurist ville jeg da mene at man vist ikke har haft en passende sikkerhed omkring disse data.