Stregkoder sladrer om CPR-nummer på nettet

Billeder af det gule sundhedskort afslører CPR-nummeret, selvom selve tallet er sløret. Stregkoden er nemlig nem at aflæse.

Det er ikke svært at finde billeder af sundhedskort - det, der tidligere hed sygesikringsbeviset - på nettet, for eksempel som illustration til en avisartikel.

Men sløringen af CPR-nummeret på kortet er alt for dårlig. Stregkoden bliver nemlig meget sjældent maskeret, og så er det nemt at finde frem til CPR-nummeret, hvis man ved, hvordan stregkoden er bygget op.

Sådan lyder det fra Casper Schneidereit, der driver webbureauet IOOS Internet.

Efter at have set eksempler på, hvordan billeder af sundhedskortet lå på nettet med tydelig stregkode, skrev han et blogindlæg, der forklarer problemet. Han kodede også en stregkode-generator efter Code 128-systemet, som bliver brugt på sundhedskortet, så man selv kan prøve. PHP-koden er også lagt ud til fri afbenyttelse.

Læs også: CPR-numre er nemme at gætte

Men da han kontaktede aviser, som brugte billeder uden tilstrækkelig sløring, var der ikke meget respons. Berlingske.dk fjernede et billede fra en artikel, mens Politiken.dk ikke reagerede.

Først da Casper Schneidereit selv fandt frem til personen, der ufrivilligt havde sit CPR-numre stående at blafre på nettet, og denne person så henvendte sig til Politiken, skete der noget.

Det skriver webudvikleren i en pressemeddelelse og i debatten under blogindlægget.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Erik Jacobsen

Men man kan jo undre sig over, at kendskab til et CPR-nummer i praksis kan bruges til at "identificere" nogen som helst. Hvis et firma, eller det offentlige, bruger den form for "identifikation", bør den forretningspraksis vel være strafbar.

  • 5
  • 0
#4 Maciej Szeliga

Hvad skal et forsikringsselskab elller et mobilselskab overhovedet med mit CPR-nr ?

De skal checke i CPR om du er den du udgiver dig for at være, du har lige præcis valgt 2 ud af en håndfuld som rent faktisk har noget at bruge CPRnr. til (og har lov til det). teleselskaber, forsikringsselskaber, A-kasser, banker, finansieringsselskaber og selvf. alle offentlige myndigheder har lov til at bruge CPR nre. ingen andre må bruge dem til noget... Desværre er det jo sådan at hvis du søger financiering gennem en butik så får butikken også automatisk dit CPRnr.

  • 1
  • 0
#5 Thue Kristensen

Der er jo mange firmaer etc som kender mit CPR-nummer. Siden CPR-nummeret derfor åbenlyst ikke kan bruges som password, hvorfor skal det så være hemmeligt? Hvis CPR-nummeret kunne findes ved en søgning på krak.dk, så ville det måske få firmaer til at holde op med at misbruge det som identification.

  • 7
  • 1
#6 Torben Mogensen Blogger

CPR-numre kan udmærket bruges til identifikation af personer -- der er ikke to personer med samme CPR-nummer, så det giver en entydig identifikation.

Noget andet er legitimation. Her er det helt i skoven, at man kan bruge kendskab til navn og CPR-nummer som eneste legitimation. Det er værre end at bruge navn og kreditkortnummer, for hvis sidstnævnte bliver misbrugt, kan man få et nyt, mens man hænger på CPR-nummeret resten af livet.

Legitimation bør primært være biometrisk (billede, fingeraftryk, osv.), men kan suppleres med hemmelige koder. Sidstnævnte bør dog bruges med det forbehold, at hvis ejeren kan sandsynliggøre misbrug, så kommer tvivlen ejeren til gode, og en ny kode udstedes. Ligesom med kreditkortnumre.

Så jeg så gerne, at en eller anden sendte hele Danmarks CPR-database til Wikileaks eller andet offentliggørelsessted, så ånden slippes ud af flasken, og ikke kan bringes tilbage igen. Så kan man måske blive enige om, at det ikke kan bruges som legitimation.

  • 13
  • 1
#7 Casper Schneidereit

Problemet ligger i den store tillid der er til at CPR nummer er en sikker identifikation af en person. Så sikker så der i hvert fald kan laves lån / kreditkort udfra det.

Det som specielt falder mig for brystet i denne sag er håndteringen fra dagbladene. Med den ene hånd skriver de lange artikler, om alle konsekvenserne ved ID tyveri og hvor let det er. Med når de selv bliver taget i at ligge kompromitterende ud, sker der ikke rigtig noget. I det konkrete eksempel med Politiken er billedet godt nok erstattet med et andet, men er stadigvæk tilgængeligt via den direkte URL + det er indekseret i Google.

  • 2
  • 0
#8 Klaus Skelbæk Madsen

De skal checke i CPR om du er den du udgiver dig for at være, du har lige præcis valgt 2 ud af en håndfuld som rent faktisk har noget at bruge CPRnr. til

Hvorfor skal Codan bruge mit CPR-nummer for at give mig en pris på en bil-forsikring? De kunne da bare spørge mig om min alder og mit køn istedet. Der er alligevel ingen verification af om navn og CPR-nummer passer sammen.

Når jeg rent faktisk vil oprette forsikringen, så giver det mening at de kan have behov for CPR-nummeret, men ikke et sekund før.

  • 3
  • 0
#9 Maciej Szeliga

Hvorfor skal Codan bruge mit CPR-nummer for at give mig en pris på en bil-forsikring? De kunne da bare spørge mig om min alder og mit køn istedet. Der er alligevel ingen verification af om navn og CPR-nummer passer sammen.

Jeg er helt enig med dig. Jeg kan forestille mig at det er fordi de vil være sikre på at du bor der hvor du skriver du bor da forsikringspræmien kan varierer med adressen, der er sågar forsikringsselskaber der slet ikke vil sælge forsikringer til folk som bor i højrisikozoner (f.eks. Brøndby Strand). Det er bare gætværk.

  • 2
  • 0
#10 Per Erik Rønne

Problemet ligger ikke i brugen af CPR-numre, men i at alt for mange tror, at kender man navn/cpr-nummer kombination, må man være identisk med pågældende person.

Det er det, vi må have ændret på, og her kunne en offentlig adgang til registret måske hjælpe.

Naturligvis med enkelte, man holdt uden for ...

  • 1
  • 0
#11 Peter Nørregaard Blogger

Torbens og Thues kommentar om at offentliggøre CPR-numre var Dansk IT inde på i sommers. Og jeg er sådan set enig!

Alle virksomheder som sælger noget på abonnement skal bruge en kundes CPR-nummer før de kan tilmelde abonnementet til betalingsservice hos PBS/Nets (hvorfor Nets så skal bruge CPR-nummer er så til gengæld lidt uklart - men det øger sikkert mobiliteten på bankmarkedet at du kan flytte bank uden at skulle flytte dine aftaler også). Selv min lokale fitness-biks og min optiker har fået mit CPR-nummer!

Også klubber som modtager kommunal støtte (det er de fleste...) skal dokumentere hvilke medlemmer de har - derfor bruger de ofte CPR-nummer.

CPR-nummeret er ikke hemmeligt mere. Det er realiteten. Måske skulle politikerne til at revidere persondataloven så datatilsynet ikke er tvunget til at fortælle, at du skal holde dit CPR-nummer hemmeligt. For så længe et CPR-nummer opfattes som hemmeligt, vil der være forretninger som tror at du er den, du giver dig ud for at være når du kender "hemmeligheden"

  • 8
  • 0
#14 Gert Madsen

Det er fuldstændigt rigtigt. CPRnr. rager dem sådan set ikke.

Jeg har haft samme diskussion med mit elselskab, som ville have mit CPRnr. så de kunne udbetale til min Nemkonto. Jeg svarede at de måtte hjertensgerne få et kontonummer de kunne sætte penge ind på, hvis de ønskede det, men mit CPRnummer fik de ikke.

Som forventet fik jeg bare et flabet svar fra et marketing-(Strøget af censuren).

Og jeg mener sådan set at man generelt skal forbyde at virksomheder og organisationer afkræver flere oplysninger af deres kunder end de reelt har behov for.

  • 1
  • 0
#15 Thue Kristensen

Og jeg mener sådan set at man generelt skal forbyde at virksomheder og organisationer afkræver flere oplysninger af deres kunder end de reelt har behov for.

Fra Persondataloven

Indsamlede oplysninger må ikke omfatte mere end nødvendigt, formålet taget i betragtning. Denne regel skal bidrage til at sikre mod en unødvendig ophobning af personoplysninger. Loven bygger altså på det princip, at offentlige myndigheder og private virksomheder m.v. ikke må indsamle og registrere flere oplysninger om den enkelte borger, end hvad der er nødvendigt.

  • 3
  • 0
#18 Maciej Szeliga

Men ikke så let at bruge det som sit eget, når man står i banken og skal legitimere sig. I hvert fald betragteligt sværere end at bruge en andens personnummer eller sygesikringskort

Jeg formoder at du ikke har set den episode af Mythbusters hvor de løfter et fingeraftryk af et glas ved hjælp lynlim og microbølgeown og derefter laver et silikoneaftryk som kan sættes på en anden persons finger ?

  • 1
  • 0
#25 Casper Schneidereit

Jette Hartmann: Nu vil jeg så vidt muligt gerne beskytte personen. Til information er billedet stadigvæk online på pol.dk ligesom det er indekseret i Google.

Men eksempelvis: Billedet gav lige præcis nok information så CPR + navn + adresse kunne udledes.

1 ) Fornavn var jørgen 2 ) Gentofte Kommune 3 ) De sidste 4 i CPR + årstal kunne findes via stregkoden. 4 ) Dag og måned var blottet via tal. 5 ) Det 3 bogstav i vejnavnet var H, og før det stod der enten et I eller L, og efter det et O eller P. 6 ) Adressen var ca 20 tegn langt.

Krak gav 190 Jørgen i København. På side 5 fandt jeg så et vejnavn, det passede med pkt 5) og pkt 6), og kontaktede efterfølgende personen.

  • 3
  • 0
#27 Christian Nobel

Indsamlede oplysninger må ikke omfatte mere end nødvendigt, formålet taget i betragtning. Denne regel skal bidrage til at sikre mod en unødvendig ophobning af personoplysninger. Loven bygger altså på det princip, at offentlige myndigheder og private virksomheder m.v. ikke må indsamle og registrere flere oplysninger om den enkelte borger, end hvad der er nødvendigt.

Og så er det lidt uhyggeligt når man i dagens udgave af CW kan læse følgende (http://www.computerworld.dk/art/208752/saa-meget-sparer-danmark-paa-at-s...):

At stat, kommuner og regioner går sammen om at udpege en fællesleverandør af fjernprintløsninger er et sjældent syn.

Dog er den offentlige treenighed tidligere gået sammen om eksempelvis fællesoffentlige udbud som NemID, Nemkonto, Digital post og Borger.dk.

Centerchef Jakob Harder fra KL's center for Digitalisering og borgerbetjening forklarer til Computerworld, at det offentlige Danmark nu er ved at være igennem de helt store it-infrastrukturområder, men stadig mangler eksempelvis grunddata om borgere og virksomheder til deling mellem alle offentlige sektorer.

Disse grunddata drejer sig mere konkret om sammenhængende grundregistreringer som personers identitet (eksempelvis bopæl og familieforhold), virksomheder (betroede personer), folks indkomst (formue og uddannelse), ejendomme (bolig, bygninger og adressedannelse) samt adressedata.

Dvs. alle disse grunddata skal i en samlet gryde, som klart må anses for værende mere end nødvendigt.

  • 0
  • 0
#29 Hans Schou
  • 2
  • 0
#30 Peter Brodersen

Som ikke-hemmelig identifikation er jeg helt med på ideen. Det er allerede i dag en let metode for virksomheder at sørge for at deres kundedata er opdateret - og tilsvarende er jeg som kunde tilfreds med, at jeg ikke skal kontakte en lang række virksomheder for at oplyse om, at jeg er flyttet.

Men igen, det forudsætter, at vi ikke længere lader som om, det er et hemmeligt møgbeværligt-at-skifte-kodeord.

For over tid kommer informationen ud på den ene eller anden måde. Om det så er en ulønnet frivillig person i en sportsklub, som taber en usb-nøgle et sted eller får sit Google Docs-regneark kompromitteret på den ene eller anden måde. Eller om det er Casper Christensen, som 09:25 inde i et afsnit af Husk Lige Tandbørsten viser indholdet i Laban-medlemmet Ivan Pedersens pas (herunder cpr-nummer) på national tv for halvanden million seere, det...

  • 2
  • 0
Log ind eller Opret konto for at kommentere