Norsk identitets-tyveri ikke muligt i Danmark

En norsk hacker skaffede sig adgang til cpr-numre, navneoplysninger og kreditinformation på 60.000 nordmænd ved hjælp af lidt snilde. Men det samme kunne ikke ske i Danmark.

En norsk hacker skaffede sig personoplysninger på 60.000 nordmænd i slutningen af juli, ved at gætte sig frem og benytte offentlige og private webtjenester. Men det samme kan ikke lade sig gøre i Danmark, siger sikkerhedsekspert. Det skriver Comon.

Den norske hacker skrev et program der genererede potentielle cpr-numre, og derefter blev numrene testet imod en offentlig webtjeneste for at finde numre som var gyldige.

Derefter benyttede hackeren det gyldige personnummer til at foretage et opslag hos teleselskabet Tele2, og fik på den måde kreditoplysninger samt navn og adresse på personerne bag cpr-numrene.

Men det kunne ikke lade sig gøre i Danmark, vurderer sikkerhedsekspert Ole Schmitto fra eSec. Det skyldes, at Datatilsynet ikke tillader, at personnummer benyttes som adgangskode til registrerede oplysninger.

Datatilsynet vil kontakte den tilsvarende norske myndighed for at gøre sig bekendt med den norske sag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jens Fallesen

Som jeg forstår artiklen (også hos ComON), blev CPR-nummeret ikke brugt som en adgangkode til oplysninger. I stedet havde man hacket sig ind på den side, som Tele2 brugte til at slå kreditoplysninger op på CPR-numre.

Det er da ikke utænkeligt, at der et eller andet sted i Danmark er et firma, der bruger CPR-nummer som unikt ID for personer, og som har en tjeneste, hvor man kan slå ting op med udgangspunkt i dette CPR-nummer.

Ligeledes er det da heller ikke helt utænkeligt, at der findes sådan et firma, hvis it-sikkerhed ikke i orden, hvorfor det er muligt for fremmede at få adgang til denne tjeneste hos firmaet.

Ja, det kan da godt være, at det firma i så fald overtræder Datatilsynets regler – men det betyder da ikke, at situationen ikke kan forekomme …

  • 0
  • 0
#3 Deleted User

Ifølge Digi.no fik hackeren adgang via et hul i Tele2's website, som blev lukket umiddelbart efter det blev kendt.

Mht bruger-id, så betyder Datatilsynets regler, sådan som jeg forstår det, ikke at man ikke må anvende cpr til login, men at det skal bakkes op af noget andet som er fortroligt, a la biblioteks-pin-kode, tast-selv-kode, certifikat mv.

Mvh Tania Andersen, Version2

  • 0
  • 0
#4 Søren Løvborg

@Kim: Som du siger, "kombineret med en pin-kode". CPR-nummer alene må ikke bruges til adgangskontrol. Selvom CPR-numre regnes for personfølsomme oplysninger, så er de ganske lette at få fat i, og det ved (det danske) Datatilsynet godt.

Reelt er der begået to fejl i denne sag:

Det første er at Altinn fortæller om cpr-nummeret er gyldigt eller ej. Dermed kan gyldige numre mines, hvilket ikke må kunne lade sig gøre. Af samme grund kan man, når man logger på en computer, typisk kun få at vide at "brugernavn eller adgangskode" var forkert, således at der ikke kan laves en liste over gyldige brugernavne. (Nogle systemer faker endda brugerinformation for ikke-eksisterende brugernavne.) Det er dette, som er i strid med Datatilsynets regler.

Det næste er så at Tele2 tilsyneladende lod en intern database med personfølsomme oplysninger være offentligt tilgængeligt, hvilket uden tvivl er i strid med både norsk og dansk lovgivning.

  • 0
  • 0
Log ind eller Opret konto for at kommentere