Systemopdatering gjorde CVR-indbrud muligt: Tyve fundet og politianmeldt

Hvad nu hvis disse "forbrydere" har benyttet f.eks. hidemyass.com som proxy for deres "angreb", kan de så overhovedet spores?

PS: DNS spærring af danske ISP'er, kan omgåes alt for let (hosts tabel, egen DNS server, udenlandsk DNS server, hidemyass.com osv. osv. osv.)

Vi skal også lige huske på, at The Pirate Bay er spærret så der er ingen danskere der kan komme ind og hente oplysningerne retur. Der sidder en kæmpe DNS-hængelås og spærrer adgangen. :-) LOL

1. Hvem er det lige, som holder 2 måneders ferie i det offentlige?!?

2. Der er ca 1 million entries i cvr (det er i hvert fald hvad der er blevet høstet). Hvis man henter 1 pr sekund vil det tage 11 1/2 dag. Med 28 opslag i sekundet tager det 10 timer. Hvordan cvr.dk kommer frem til 10 år er mig en gåde.

3. Hvordan kan version2 ukritisk bringe den slags sludder?

4. "Der er ingen personfølsom information". Aha! Hvad med alle de emailadresser, der er blevet høstet? De må for størstedelens vedkommende formodes at være valide. De er GULD værd for en spammer.

5. Nogen burde sagsøge cvr.dk

6. Hvorfor scroller version 2 siden hele tiden op, så det er umuligt at skrive en kommenter ?!?

CVR tilbyder folk at man kan lave masseudtræk af oplysningerne via en kommasepareret fil af cvr-numre. Der står, så vidt jeg kan se, ikke noget om hvor mange udtræk man må lave. http://cvr.dk/site/forms/businessresearch/BulkResearch.aspx

Enten må der altså være mere i det, end at nogen bare har udtrukket data på legal vis, eller også er problemet af data bliver videredistribueret.

Det store spørgmål er dog hvordan gerningsmændene var klar over, at begræsningen var fjernet? Det lyder ikke sandsynligt, at det bare var et rent tilfælde, at de besluttede sig for at tømme databasen lige præcis på det tidspunkt, hvor der ikke var en begrænsning.

CVR-data er symptomatisk for et stort problem blandt offentlige myndigheder - et problem, som ikke er specielt nyt, og som hiver min kæphest rundt i manegen igen:

Forskellige myndigheder har forskellige indbyrdes licenser. Et eksempel på dette er Smiley-data fra Fødevarestyrelsen samt tilsvarende data fra Arbejdsministeriet.

Fødevarestyrelsen (under Ministeriet for Fødevarer, Landbrug og Fiskeri) har en hjemmeside, hvor man kan slå Smiley-oplysninger op. De får informationer om nye virksomheder fra CVR.

Arbejdstilsynet (under Beskæftigelsesministeriet) har en hjemmeside, hvor man kan slå deres Smiley-resultater op angående sikkerhed, arbejdsmiljø, m.m. (yep, de bruger også smileys, fordi konceptet er blevet taget godt imod blandt befolkningen, men deres smileys har farver, og den bedste smiley har en kongekrone).

Fødevarestyrelsen giver mulighed for at downloade rub og stub og lægger regneark og XML-filer med al data til fri afbenyttelse.

Arbejdstilsynet meldte mig, at de ikke gav mulighed for at man kunne downloade al data, for deres aftale med CVR (som drives af Erhvervs- og Selskabsstyrelsen, der hører under Økonomi- og Erhvervsministeriet) giver ikke lov til dette, med begrundelsen at så ville folk den vej igennem kunne få oplysninger om en masse virksomheder (oh gru!)

Med andre ord: CVR laver en aftale med Fødevarestyrelsen om brug af data. CVR laver en anden aftale med Arbejdstilsynet om brug af data.

Det er udelukkende tre offentlige myndigheder. Og det er ikke som om, man bare kan bruge en konkurrent til CVR, hvis man er utilfreds med deres opførsel.

Uagtet at der kan være brud på ophavsretslovens § 71 om kataloger, kan jeg ikke rigtigt sige, at jeg er utilfreds over data-scrapingen.

At få data fra det offentlige har for mig slet og ret været lidt af et licens-lotteri. I de seneste par år er der heldigvis sket nogle gode initiativer med bl.a. IT- og Telestyrelsens ODIS-projekt (ODIS = Offentlige Data I Spil), men CVR kommer med al sandsynlighed til at være den sidste bastion. Koordinater på samtlige adresser har været et lignende problem, hvor man omkring år 2001 stiller dem frit til rådighed til fri download, hvorefter man ikke alene vil begynde at tage penge for samlede datasæt, men også decideret fjerner de gamle filer fra hjemmesiden, og så senere finder ud af, at adressedata er måske alligevel ikke bare god service, men også en del af en moderne infrastruktur, hvorefter der oprettes tjenester til at lave opslag på enkeltadresser og veje - men stadigvæk ikke på alle adresser, fordi man nu har sat sig på en model, hvor man gennem underleverandører sælger adressedata, og ikke let kan komme ud af det setup.

Min politiske forståelse er, at offentlige myndigheder har været gennemsyret af en lidt for kæk liberal tankegang om, at de skal drives som virksomheder og gerne være selvfinansierende med bizarre metoder (som i, det er bedre at holde data for sig selv end at lægge dem ud til fri download, hvilket jo kan koste nogle kroner om måneden i trafik). Spørgsmålet er, om Økonomi- og Erhvervsministeren vil følge de nye ODIS-initiativer, eller om han vil fortsætte med at modarbejde innovation og fortsat gøre det mere besværligt at drive virksomhed i landet (afgifter på oprettelse af virksomhed, betaling for let at tjekke øvrige virksomheder, etc.). Nu er Brian Mikkelsen nok ikke minister så længe endnu, men jeg er desværre ikke overbevist om, at et ministerskifte vil gøre det store her.

... at der bliver kigget på hele det system.

Selvom det ikke er fortrolige oplysninger der gemmer sig bag, så finder jeg det dybt forkasteligt, at alle med et login kan ændre stamdata for diverse tilfældige firmaer. Det var i hvert fald tilfældet tidligere på året og jeg kan kun håbe det er blevet forbedret.

1 opslag pr sekund := 10 år

mindst 28 opslag pr sekund := mindre end 2 måneder

???? Der er vist en god faktor 2, der gemmer sig i det "mindst".

Der er en E&S begrænsning på 1 opslag pr. sekund. Man må altså godt tømme CVR registret, så længe man slår een op ad gangen. Men hvis E&S laver det om til 28 pr. sekund (grundet en fejl hos E&S eller noget andet), så er det ikke i orden at tømme CVR, så længe man slår een op ad gangen?

Det virker temmelig underligt - eller kan nogen forklare dette?

Det er muligvis ikke lovligt at videregive opslag til 3. part (eksempelvis TPB), det er vel det der er sagen. Men tyveri det har jeg svært ved at se. Ligesom jeg har ret svært ved at se der kan være tale om hacking? De har jo blot slået informationerne op.

Jeg bryder mig ikke om at vores CVR register (for det er vel vores og ikke E&S's, de er vel bare den styrelser der forvalter det?), ryger ud på f.eks. TPB, men hvad er det helt præcist de folk der har gjort dette, har gjort sig skyldige i?

Kan Version2 ikke grave lidt videre i denne sag, og få "gerningsmændene" i snak, en IT-advokat m.fl.?

Er det ulovligt at downloade en hjemmeside? - Eller er det ulovligt at viderdistribuere en hjemmeside på f.eks. ThePirateBay ? Jeg kan se et muligt copyright issue, hvis E&S ejer de oplysninger der nu er lagt på ThePirateBay.

Sikke en masse spildtid politiet, deres kolleger i udlandet samt diverse isp'er nu skal bruge på nogle ip-adresser på en bunke virus-inficerede windows-maskiner. Alt sammen for noget der er offentligt tilgængeligt.

At lave opslag med den system-tilladte hastighed?

Så vidt jeg læser det er der ikke tale om SQL injection eller andre "tyvagtige" teknikker. Dermed må man vel konstatere, at "tyvene" blot har hentet tilgængelige data, der i øvrigt er offentligt tilgængelige, uden egentlig at bryde ind eller benytte sig af andre kriminelle teknikker.

"Den der bortfjerner fremmed rørlig genstand" er vist definitionen på tyveri (der er nok en datarelateret bestemmelse der passer bedre), så vidt jeg kan se er "genstanden" ikke fremmed.

Måske de er lang tid om at skrive anmeldelsen fordi de har lidt svært ved at passe hændelsen ind i gældende ret?

Kan jeg så ikke bare få 28 ip'er og sende 28 opslag afsted?

Hvordan hænger det sammen med:

Carsten Ingerslev fortæller, at han da ikke er særligt glad for hændelsen, men at den ikke får den store betydning for CVR, idet dataene egentligt er offentlige.

Hvis dataene egentlige er offentlige, er det vel ikke tyve?

Erhvervs- og Selskabsstyrelsen sælger info til Erhvervs- og Boligstyrelsen. Genialt! Frigiv selv oplysningerne så slipper vi for en masse administration.

"Normalt er der en system-blokering, der kun tillader brugere at lave 1 opslag pr. sekund. Det betyder, at det vil tage en maskine over ti år at tømme registeret."

Fantastisk at hver dansker i snit ejer over 51 virksomheder!

Man politianmelder altså nogen der ikke handlede ulovligt da de tilvejebragte informationerne.