Stregkoder sladrer om CPR-nummer på nettet

17. januar 2012 kl. 09:4830
Billeder af det gule sundhedskort afslører CPR-nummeret, selvom selve tallet er sløret. Stregkoden er nemlig nem at aflæse.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er ikke svært at finde billeder af sundhedskort - det, der tidligere hed sygesikringsbeviset - på nettet, for eksempel som illustration til en avisartikel.

Men sløringen af CPR-nummeret på kortet er alt for dårlig. Stregkoden bliver nemlig meget sjældent maskeret, og så er det nemt at finde frem til CPR-nummeret, hvis man ved, hvordan stregkoden er bygget op.

Sådan lyder det fra Casper Schneidereit, der driver webbureauet IOOS Internet.

Efter at have set eksempler på, hvordan billeder af sundhedskortet lå på nettet med tydelig stregkode, skrev han et blogindlæg, der forklarer problemet. Han kodede også en stregkode-generator efter Code 128-systemet, som bliver brugt på sundhedskortet, så man selv kan prøve. PHP-koden er også lagt ud til fri afbenyttelse.

Artiklen fortsætter efter annoncen

Men da han kontaktede aviser, som brugte billeder uden tilstrækkelig sløring, var der ikke meget respons. Berlingske.dk fjernede et billede fra en artikel, mens Politiken.dk ikke reagerede.

Først da Casper Schneidereit selv fandt frem til personen, der ufrivilligt havde sit CPR-numre stående at blafre på nettet, og denne person så henvendte sig til Politiken, skete der noget.

Det skriver webudvikleren i en pressemeddelelse og i debatten under blogindlægget.

30 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
23
17. januar 2012 kl. 19:18

Læste artiklen på min Android mobil, hvorefter jeg tog mit sygesikringskort frem og skannede det med ZXing Barcode Scanner, det er nemt nok. Men er der nogen der har prøvet at scanne direkte fra skærmen eller et printet skærmdump.

21
17. januar 2012 kl. 18:49

hvordan Casper Schneidereit selv fandt frem til personen:

"Først da Casper Schneidereit selv fandt frem til personen, der ufrivilligt havde sit CPR-numre stående at blafre på nettet, og denne person så henvendte sig til Politiken, skete der noget"

25
17. januar 2012 kl. 21:16

Jette Hartmann: Nu vil jeg så vidt muligt gerne beskytte personen. Til information er billedet stadigvæk online på pol.dk ligesom det er indekseret i Google.

Men eksempelvis: Billedet gav lige præcis nok information så CPR + navn + adresse kunne udledes.

1 ) Fornavn var jørgen 2 ) Gentofte Kommune 3 ) De sidste 4 i CPR + årstal kunne findes via stregkoden. 4 ) Dag og måned var blottet via tal. 5 ) Det 3 bogstav i vejnavnet var H, og før det stod der enten et I eller L, og efter det et O eller P. 6 ) Adressen var ca 20 tegn langt.

Krak gav 190 Jørgen i København. På side 5 fandt jeg så et vejnavn, det passede med pkt 5) og pkt 6), og kontaktede efterfølgende personen.

29
18. januar 2012 kl. 01:06

Casper Schneidereit

1 ) Fornavn var jørgen
2 ) Gentofte Kommune
3 ) De sidste 4 i CPR + årstal kunne findes via stregkoden.
4 ) Dag og måned var blottet via tal.
5 ) Det 3 bogstav i vejnavnet var H, og før det stod der enten et I eller L, og efter det et O eller P.
6 ) Adressen var ca 20 tegn langt.

Ja ja, den er god med dig. Prøv så med Lone Hansenhttp://www.vesthimmerland.dk/billeder/sundhedskort.gif

Spøg til side. Ovenstående bidled er et eksempel på den eneste rigtige måde at vise et CPR-nummer på, når nu at nogen mener at CPR kan bruges som legitimation.

14
17. januar 2012 kl. 15:24

Det er fuldstændigt rigtigt. CPRnr. rager dem sådan set ikke.

Jeg har haft samme diskussion med mit elselskab, som ville have mit CPRnr. så de kunne udbetale til min Nemkonto. Jeg svarede at de måtte hjertensgerne få et kontonummer de kunne sætte penge ind på, hvis de ønskede det, men mit CPRnummer fik de ikke.

Som forventet fik jeg bare et flabet svar fra et marketing-(Strøget af censuren).

Og jeg mener sådan set at man generelt skal forbyde at virksomheder og organisationer afkræver flere oplysninger af deres kunder end de reelt har behov for.

15
17. januar 2012 kl. 15:55

Og jeg mener sådan set at man generelt skal forbyde at virksomheder og organisationer afkræver flere oplysninger af deres kunder end de reelt har behov for.

Fra Persondataloven

Indsamlede oplysninger må ikke omfatte mere end nødvendigt, formålet taget i betragtning. Denne regel skal bidrage til at sikre mod en unødvendig ophobning af personoplysninger. Loven bygger altså på det princip, at offentlige myndigheder og private virksomheder m.v. ikke må indsamle og registrere flere oplysninger om den enkelte borger, end hvad der er nødvendigt.

27
17. januar 2012 kl. 22:28

Indsamlede oplysninger må ikke omfatte mere end nødvendigt, formålet taget i betragtning. Denne regel skal bidrage til at sikre mod en unødvendig ophobning af personoplysninger. Loven bygger altså på det princip, at offentlige myndigheder og private virksomheder m.v. ikke må indsamle og registrere flere oplysninger om den enkelte borger, end hvad der er nødvendigt.

Og så er det lidt uhyggeligt når man i dagens udgave af CW kan læse følgende (http://www.computerworld.dk/art/208752/saa-meget-sparer-danmark-paa-at-skrotte-papirbrevene?page=2):

At stat, kommuner og regioner går sammen om at udpege en fællesleverandør af fjernprintløsninger er et sjældent syn.</p>
<p>Dog er den offentlige treenighed tidligere gået sammen om eksempelvis fællesoffentlige udbud som NemID, Nemkonto, Digital post og Borger.dk.</p>
<p>Centerchef Jakob Harder fra KL's center for Digitalisering og borgerbetjening forklarer til Computerworld, at det offentlige Danmark nu er ved at være igennem de helt store it-infrastrukturområder, men stadig mangler eksempelvis grunddata om borgere og virksomheder til deling mellem alle offentlige sektorer.</p>
<p>Disse grunddata drejer sig mere konkret om sammenhængende grundregistreringer som personers identitet (eksempelvis bopæl og familieforhold), virksomheder (betroede personer), folks indkomst (formue og uddannelse), ejendomme (bolig, bygninger og adressedannelse) samt adressedata.

Dvs. alle disse grunddata skal i en samlet gryde, som klart må anses for værende mere end nødvendigt.

16
17. januar 2012 kl. 16:10

Tak for oplysningen, Thue.

Der er så desværre ikke meget der tyder på at loven bliver håndhævet.

10
17. januar 2012 kl. 14:10

Problemet ligger ikke i brugen af CPR-numre, men i at alt for mange tror, at kender man navn/cpr-nummer kombination, må man være identisk med pågældende person.

Det er det, vi må have ændret på, og her kunne en offentlig adgang til registret måske hjælpe.

Naturligvis med enkelte, man holdt uden for ...

7
17. januar 2012 kl. 12:43

Problemet ligger i den store tillid der er til at CPR nummer er en sikker identifikation af en person. Så sikker så der i hvert fald kan laves lån / kreditkort udfra det.

Det som specielt falder mig for brystet i denne sag er håndteringen fra dagbladene. Med den ene hånd skriver de lange artikler, om alle konsekvenserne ved ID tyveri og hvor let det er. Med når de selv bliver taget i at ligge kompromitterende ud, sker der ikke rigtig noget. I det konkrete eksempel med Politiken er billedet godt nok erstattet med et andet, men er stadigvæk tilgængeligt via den direkte URL + det er indekseret i Google.

6
17. januar 2012 kl. 12:24

CPR-numre kan udmærket bruges til identifikation af personer -- der er ikke to personer med samme CPR-nummer, så det giver en entydig identifikation.

Noget andet er legitimation. Her er det helt i skoven, at man kan bruge kendskab til navn og CPR-nummer som eneste legitimation. Det er værre end at bruge navn og kreditkortnummer, for hvis sidstnævnte bliver misbrugt, kan man få et nyt, mens man hænger på CPR-nummeret resten af livet.

Legitimation bør primært være biometrisk (billede, fingeraftryk, osv.), men kan suppleres med hemmelige koder. Sidstnævnte bør dog bruges med det forbehold, at hvis ejeren kan sandsynliggøre misbrug, så kommer tvivlen ejeren til gode, og en ny kode udstedes. Ligesom med kreditkortnumre.

Så jeg så gerne, at en eller anden sendte hele Danmarks CPR-database til Wikileaks eller andet offentliggørelsessted, så ånden slippes ud af flasken, og ikke kan bringes tilbage igen. Så kan man måske blive enige om, at det ikke kan bruges som legitimation.

18
17. januar 2012 kl. 18:20

Men ikke så let at bruge det som sit eget, når man står i banken og skal legitimere sig. I hvert fald betragteligt sværere end at bruge en andens personnummer eller sygesikringskort

Jeg formoder at du ikke har set den episode af Mythbusters hvor de løfter et fingeraftryk af et glas ved hjælp lynlim og microbølgeown og derefter laver et silikoneaftryk som kan sættes på en anden persons finger ?

28
17. januar 2012 kl. 22:33

Men hvordan pokker vil du bruge det i banken, når de kigger på?

Jeg har på fornemmelsen at det er et problem i den lave ende for mennesker, der har viet deres højere hjernefunktioner til at lave svindel.

P.S.: Jeg kom til at ramme anmeld. Beklager hvis Henlov kommer efter dig :)

22
17. januar 2012 kl. 19:12

Chaos Computer Club kan også:
<a href="http://www.youtube.com/watch?v=4HRGEHcH8C0">http://www.youtube.com/watc…;

Ja, jeg regnede bare med at flere havde set Mythbusters.

11
17. januar 2012 kl. 14:15

Torbens og Thues kommentar om at offentliggøre CPR-numre var Dansk IT inde på i sommers. Og jeg er sådan set enig!

Alle virksomheder som sælger noget på abonnement skal bruge en kundes CPR-nummer før de kan tilmelde abonnementet til betalingsservice hos PBS/Nets (hvorfor Nets så skal bruge CPR-nummer er så til gengæld lidt uklart - men det øger sikkert mobiliteten på bankmarkedet at du kan flytte bank uden at skulle flytte dine aftaler også). Selv min lokale fitness-biks og min optiker har fået mit CPR-nummer!

Også klubber som modtager kommunal støtte (det er de fleste...) skal dokumentere hvilke medlemmer de har - derfor bruger de ofte CPR-nummer.

CPR-nummeret er ikke hemmeligt mere. Det er realiteten. Måske skulle politikerne til at revidere persondataloven så datatilsynet ikke er tvunget til at fortælle, at du skal holde dit CPR-nummer hemmeligt. For så længe et CPR-nummer opfattes som hemmeligt, vil der være forretninger som tror at du er den, du giver dig ud for at være når du kender "hemmeligheden"

30
18. januar 2012 kl. 03:47

Som ikke-hemmelig identifikation er jeg helt med på ideen. Det er allerede i dag en let metode for virksomheder at sørge for at deres kundedata er opdateret - og tilsvarende er jeg som kunde tilfreds med, at jeg ikke skal kontakte en lang række virksomheder for at oplyse om, at jeg er flyttet.

Men igen, det forudsætter, at vi ikke længere lader som om, det er et hemmeligt møgbeværligt-at-skifte-kodeord.

For over tid kommer informationen ud på den ene eller anden måde. Om det så er en ulønnet frivillig person i en sportsklub, som taber en usb-nøgle et sted eller får sit Google Docs-regneark kompromitteret på den ene eller anden måde. Eller om det er Casper Christensen, som 09:25 inde i et afsnit af Husk Lige Tandbørsten viser indholdet i Laban-medlemmet Ivan Pedersens pas (herunder cpr-nummer) på national tv for halvanden million seere, det...

5
17. januar 2012 kl. 12:06

Der er jo mange firmaer etc som kender mit CPR-nummer. Siden CPR-nummeret derfor åbenlyst ikke kan bruges som password, hvorfor skal det så være hemmeligt? Hvis CPR-nummeret kunne findes ved en søgning på krak.dk, så ville det måske få firmaer til at holde op med at misbruge det som identification.

3
17. januar 2012 kl. 11:39

Hvad skal fx Codan med mit CPR-nr for at kunne oplyse mig om prisen på en forsikring, før jeg overhovedet er blevet kunde hos dem ?! Prøv blot at finde prisen på en bilforsikring på deres hjemmeside.

Hvad skal et forsikringsselskab elller et mobilselskab overhovedet med mit CPR-nr ?

4
17. januar 2012 kl. 12:00

Hvad skal et forsikringsselskab elller et mobilselskab overhovedet med mit CPR-nr ?

De skal checke i CPR om du er den du udgiver dig for at være, du har lige præcis valgt 2 ud af en håndfuld som rent faktisk har noget at bruge CPRnr. til (og har lov til det). teleselskaber, forsikringsselskaber, A-kasser, banker, finansieringsselskaber og selvf. alle offentlige myndigheder har lov til at bruge CPR nre. ingen andre må bruge dem til noget... Desværre er det jo sådan at hvis du søger financiering gennem en butik så får butikken også automatisk dit CPRnr.

8
17. januar 2012 kl. 12:56

De skal checke i CPR om du er den du udgiver dig for at være, du har lige præcis valgt 2 ud af en håndfuld som rent faktisk har noget at bruge CPRnr. til

Hvorfor skal Codan bruge mit CPR-nummer for at give mig en pris på en bil-forsikring? De kunne da bare spørge mig om min alder og mit køn istedet. Der er alligevel ingen verification af om navn og CPR-nummer passer sammen.

Når jeg rent faktisk vil oprette forsikringen, så giver det mening at de kan have behov for CPR-nummeret, men ikke et sekund før.

9
17. januar 2012 kl. 13:15

Hvorfor skal Codan bruge mit CPR-nummer for at give mig en pris på en bil-forsikring? De kunne da bare spørge mig om min alder og mit køn istedet. Der er alligevel ingen verification af om navn og CPR-nummer passer sammen.

Jeg er helt enig med dig. Jeg kan forestille mig at det er fordi de vil være sikre på at du bor der hvor du skriver du bor da forsikringspræmien kan varierer med adressen, der er sågar forsikringsselskaber der slet ikke vil sælge forsikringer til folk som bor i højrisikozoner (f.eks. Brøndby Strand). Det er bare gætværk.

2
17. januar 2012 kl. 11:23

Men man kan jo undre sig over, at kendskab til et CPR-nummer i praksis kan bruges til at "identificere" nogen som helst. Hvis et firma, eller det offentlige, bruger den form for "identifikation", bør den forretningspraksis vel være strafbar.

1
17. januar 2012 kl. 11:14

Vordende mødre smider altid deres ultralydsbilleder af babyen ud på Facebook og andre sites. De glemmer bare lige at deres CPR nummer altid er en del af billedet, også...