Pas på: CVR-registeret gemmer og sender passwords i klartekst
Det centrale virksomhedsregister CVR har en lemfældig omgang med folks personlige kodeord. CVR opbevarer nemlig brugernes kodeord som klartekst uden nogen form for kryptering.
Det opdagede Morten Hattesen, selvstændig it-konsulent, da han skulle oprette sig som bruger på www.cvr.dk. Han tastede i den forbindelse brugerinformation og password ind, men fik en ubehagelig oplevelse:
»Hvad der skræmte mig var, at jeg efterfølgende modtog en ukrypteret email-bekræftelse, der forklarede, at jeg var oprettet som bruger, og inkluderede mit password i clear-tekst.«
»Hvad der skræmte mig endnu mere var, da jeg skrev til webmaster hos cvr.dk og påpegede det oplagte sikkerhedsproblem i at sende fortrolige passwords via alverdens SMTP-servere, og efterfølgende modtog en email med svaret:
"Det er praksis, at der sendes email med password. Det, du skal gøre, er at gå ind på www.cvr.dk og logge på og herefter vælge 'ændre password'". De forholdt sig således slet ikke til, hvorvidt det var en sikkerhedsmæssig acceptabel praksis, de havde gang i.«
Ingen misbrug, så vidt vi ved
Da Version2 konfronterer Erhvervs- og Selskabsstyrelsen med problemet, erkender kontorchef i Center for CVR Salg og Support Carsten Ingerslev, at kodeords-behandlingen er problematisk:
»I 2005 var det en standardløsning, og det var almindeligt, at man gjorde det på den måde. Jeg siger ikke, at der ikke er noget problem, men vi er opmærksomme på det, og vi er på sagen. Man skal heller ikke glemme, at vi logger ip-adresser, så vi vil kunne finde hackeren, hvis der er nogen, der misbruger andres oplysninger.«
I øjeblikket er styrelsen ved at opdatere deres databaser og systemer, og CVR-registeret står først for skud, blandt andet fordi det er et af de ældste systemer. Det er endnu ikke besluttet, hvordan den nye log-on løsning kommer til at se ud. Men Carsten Ingerslev satser på, at CVR går væk fra en kodeordsløsning og over til for eksempel NemID eller andre digitale signatur-løsninger.
Der vil dermed gå op til et år, før brugernes private kodeord ikke længere bliver kastet rundt på diverse SMTP-servere i klartekst.
»Man kan altid diskutere, hvor hurtigt man kan gøre tingene, og i en perfekt verden, havde vi gjort det for lang tid siden,« siger han og fortsætter:
Kan man trække følsomme data ud af systemet?
»Nej, der er ingen følsomme data i systemet. Vi erkender, at det skal opdateres, men dataene er i princippet fuldt offentligt tilgængelige, der er kun en betalingsløsning, fordi vi skal have dækket vores omkostninger.«
Vil I skrive til folk at deres passwords kan være kompromitteret?
»Det vil vi da overveje.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
