Systemopdatering gjorde CVR-indbrud muligt: Tyve fundet og politianmeldt
»Vi har IP-adressserne på dem, som vi formoder har gjort det, og vi er ved at lægge sidste hånd på en politianmeldelse,« siger Carsten Ingerslev, kontorchef i Erhvervs- og Selskabsstyrelsen, Center for CVR-salg og support, til Version2.
Udtalelsen kommer, efter at det er lykkedes hackere at downloade en næsten komplet kopi af hele CVR's database og herefter lægge indholdet tilgængeligt på torrent-sitet The Pirate Bay.
Carsten Ingerslev fortæller, at han da ikke er særlig glad for hændelsen, men at den ikke får den store betydning for CVR, idet dataene egentlig er offentlige.
At tyvene kunne slippe af sted med at tømme registeret skyldtes, at en system-blokering var blevet inaktiveret. Normalt er der en system-blokering, der kun tillader brugere at lave 1 opslag pr. sekund. Det betyder, at det vil tage en maskine over ti år at tømme registeret. Men grundet en systemopdatering måtte blokeringen slås fra.
Derfor kunne tyvene lave mindst 28 opslag i sekundet, hvilket betød, at de kunne indsamle informationerne hurtigere.
»Problemet er, at vi lavede en systemopdatering, og derfor havde vi slået blokeringen fra i juni og juli, og kunne ikke få det fikset på grund af sommerferie. Hvis blokeringen havde været der, havde dette ikke kunnet ske,« siger han til Version2.
Selv om sikkerheden på denne måde blev kompromitteret, var det et bevidst valg at slå netop denne blokering fra.
»Da vi valgte at slå den fra, hang det sammen med, at der ikke er nogen personfølsomme data. Så dem, der lider et muligt tab i den her sag, er kun os selv,« siger han til Version2.
De stjålne oplysninger er dog ikke opdaterede, men fra juni måned, og Carsten Ingerslev mener derfor ikke, at tyveriet kommer til at betyde noget for CVR-registreret forretning:
»Mange af vores kunder har brug for opdaterede data. Derfor har jeg svært ved at se for mig, at for eksempel Erhvervs- og Byggestyrelsen henter informationer på Pirate Bay, så jeg kan ikke se det store problem.«
Sikkerheden vil dog blive skærpet væsentligt, understreger han.
»Vi vil gennemføre nogle tiltag, så det ikke vil være muligt at gøre det her igen. Allerede i dag eller i morgen er vi færdige med at kigge på sikkerheden,« siger han til Version2.
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
- Sortér efter chevron_right
- Trådet debat
Hvad nu hvis disse "forbrydere" har benyttet f.eks. hidemyass.com som proxy for deres "angreb", kan de så overhovedet spores?
PS: DNS spærring af danske ISP'er, kan omgåes alt for let (hosts tabel, egen DNS server, udenlandsk DNS server, hidemyass.com osv. osv. osv.)
Vi skal også lige huske på, at The Pirate Bay er spærret så der er ingen danskere der kan komme ind og hente oplysningerne retur. Der sidder en kæmpe DNS-hængelås og spærrer adgangen. :-) LOL
I det hele taget kan det ikke passe.
TPB indeholder jo kun referencer til ulovlige kopier af musik og film . . .
"The irony is strong with this one"Ironien er tyk :-D
Der var vist en dreng lidt uden for Esbjerg, der via det tiltag, blev forhindret adgang. Sagnet siger at det tog flere dage for ham at løse problemet. Men det er nok bare en skrøne :-)
Skrønen er, at det tog så lang tid.
Vi skal også lige huske på, at The Pirate Bay er spærret så der er ingen danskere der kan komme ind og hente oplysningerne retur.
Såfremt de benytter sig af deres danske udbyders DNS.
Hvem er det lige, som holder 2 måneders ferie i det offentlige?!?
Der er ca 1 million entries i cvr (det er i hvert fald hvad der er blevet høstet). Hvis man henter 1 pr sekund vil det tage 11 1/2 dag. Med 28 opslag i sekundet tager det 10 timer. Hvordan cvr.dk kommer frem til 10 år er mig en gåde.
Hvordan kan version2 ukritisk bringe den slags sludder?
"Der er ingen personfølsom information". Aha! Hvad med alle de emailadresser, der er blevet høstet? De må for størstedelens vedkommende formodes at være valide. De er GULD værd for en spammer.
Nogen burde sagsøge cvr.dk
Hvorfor scroller version 2 siden hele tiden op, så det er umuligt at skrive en kommenter ?!?
CVR tilbyder folk at man kan lave masseudtræk af oplysningerne via en kommasepareret fil af cvr-numre. Der står, så vidt jeg kan se, ikke noget om hvor mange udtræk man må lave. https://cvr.dk/site/forms/businessresearch/BulkResearch.aspx
Enten må der altså være mere i det, end at nogen bare har udtrukket data på legal vis, eller også er problemet af data bliver videredistribueret.
Det store spørgmål er dog hvordan gerningsmændene var klar over, at begræsningen var fjernet? Det lyder ikke sandsynligt, at det bare var et rent tilfælde, at de besluttede sig for at tømme databasen lige præcis på det tidspunkt, hvor der ikke var en begrænsning.
CVR tilbyder folk at man kan lave masseudtræk af oplysningerne via en kommasepareret fil af cvr-numre. Der står, så vidt jeg kan se, ikke noget om hvor mange udtræk man må lave. <a href="https://cvr.dk/site/forms/businessresearch/BulkResearch.aspx">https://c…;
Du må (så vidt jeg kan se) lave lige så mange udtræk du vil, hvis du vil betale 2.50kr pr record.
Jeg prøvede at lave et udtræk på en branche og det kom pænt i min indkøbskurv til 31.000 kr.
Jeg undlod at hente det...
CVR-data er symptomatisk for et stort problem blandt offentlige myndigheder - et problem, som ikke er specielt nyt, og som hiver min kæphest rundt i manegen igen:
Forskellige myndigheder har forskellige indbyrdes licenser. Et eksempel på dette er Smiley-data fra Fødevarestyrelsen samt tilsvarende data fra Arbejdsministeriet.
Fødevarestyrelsen (under Ministeriet for Fødevarer, Landbrug og Fiskeri) har en hjemmeside, hvor man kan slå Smiley-oplysninger op. De får informationer om nye virksomheder fra CVR.
Arbejdstilsynet (under Beskæftigelsesministeriet) har en hjemmeside, hvor man kan slå deres Smiley-resultater op angående sikkerhed, arbejdsmiljø, m.m. (yep, de bruger også smileys, fordi konceptet er blevet taget godt imod blandt befolkningen, men deres smileys har farver, og den bedste smiley har en kongekrone).
Fødevarestyrelsen giver mulighed for at downloade rub og stub og lægger regneark og XML-filer med al data til fri afbenyttelse.
Arbejdstilsynet meldte mig, at de ikke gav mulighed for at man kunne downloade al data, for deres aftale med CVR (som drives af Erhvervs- og Selskabsstyrelsen, der hører under Økonomi- og Erhvervsministeriet) giver ikke lov til dette, med begrundelsen at så ville folk den vej igennem kunne få oplysninger om en masse virksomheder (oh gru!)
Med andre ord: CVR laver en aftale med Fødevarestyrelsen om brug af data. CVR laver en anden aftale med Arbejdstilsynet om brug af data.
Det er udelukkende tre offentlige myndigheder. Og det er ikke som om, man bare kan bruge en konkurrent til CVR, hvis man er utilfreds med deres opførsel.
Uagtet at der kan være brud på ophavsretslovens § 71 om kataloger, kan jeg ikke rigtigt sige, at jeg er utilfreds over data-scrapingen.
At få data fra det offentlige har for mig slet og ret været lidt af et licens-lotteri. I de seneste par år er der heldigvis sket nogle gode initiativer med bl.a. IT- og Telestyrelsens ODIS-projekt (ODIS = Offentlige Data I Spil), men CVR kommer med al sandsynlighed til at være den sidste bastion. Koordinater på samtlige adresser har været et lignende problem, hvor man omkring år 2001 stiller dem frit til rådighed til fri download, hvorefter man ikke alene vil begynde at tage penge for samlede datasæt, men også decideret fjerner de gamle filer fra hjemmesiden, og så senere finder ud af, at adressedata er måske alligevel ikke bare god service, men også en del af en moderne infrastruktur, hvorefter der oprettes tjenester til at lave opslag på enkeltadresser og veje - men stadigvæk ikke på alle adresser, fordi man nu har sat sig på en model, hvor man gennem underleverandører sælger adressedata, og ikke let kan komme ud af det setup.
Min politiske forståelse er, at offentlige myndigheder har været gennemsyret af en lidt for kæk liberal tankegang om, at de skal drives som virksomheder og gerne være selvfinansierende med bizarre metoder (som i, det er bedre at holde data for sig selv end at lægge dem ud til fri download, hvilket jo kan koste nogle kroner om måneden i trafik). Spørgsmålet er, om Økonomi- og Erhvervsministeren vil følge de nye ODIS-initiativer, eller om han vil fortsætte med at modarbejde innovation og fortsat gøre det mere besværligt at drive virksomhed i landet (afgifter på oprettelse af virksomhed, betaling for let at tjekke øvrige virksomheder, etc.). Nu er Brian Mikkelsen nok ikke minister så længe endnu, men jeg er desværre ikke overbevist om, at et ministerskifte vil gøre det store her.
... at der bliver kigget på hele det system.
Selvom det ikke er fortrolige oplysninger der gemmer sig bag, så finder jeg det dybt forkasteligt, at alle med et login kan ændre stamdata for diverse tilfældige firmaer. Det var i hvert fald tilfældet tidligere på året og jeg kan kun håbe det er blevet forbedret.
1 opslag pr sekund := 10 år
mindst 28 opslag pr sekund := mindre end 2 måneder
???? Der er vist en god faktor 2, der gemmer sig i det "mindst".
Der er en E&S begrænsning på 1 opslag pr. sekund. Man må altså godt tømme CVR registret, så længe man slår een op ad gangen. Men hvis E&S laver det om til 28 pr. sekund (grundet en fejl hos E&S eller noget andet), så er det ikke i orden at tømme CVR, så længe man slår een op ad gangen?
Det virker temmelig underligt - eller kan nogen forklare dette?
Det er muligvis ikke lovligt at videregive opslag til 3. part (eksempelvis TPB), det er vel det der er sagen. Men tyveri det har jeg svært ved at se. Ligesom jeg har ret svært ved at se der kan være tale om hacking? De har jo blot slået informationerne op.
Jeg bryder mig ikke om at vores CVR register (for det er vel vores og ikke E&S's, de er vel bare den styrelser der forvalter det?), ryger ud på f.eks. TPB, men hvad er det helt præcist de folk der har gjort dette, har gjort sig skyldige i?
Jeg er også uforstående over for hvorfor CVR.dk får lov til at sælge deres data, men tog et kort kig i loven, og der står direkte at det er ulovligt at videregive information fra cvr.dk (kap. 3, §10) at crawle cvr.dk (kap. 3, §11):
Sjovt nok er der ikke en straf for at crawle, kun for at videregive (kap. 4, §12)
https://www.retsinformation.dk/Forms/R0710.aspx?id=129185#K3
Jeg er også uforstående over for hvorfor CVR.dk får lov til at sælge deres data, men tog et kort kig i loven, og der står direkte at det er ulovligt at videregive information fra cvr.dk (kap. 3, §10) at crawle cvr.dk (kap. 3, §11):</p>
<p>Sjovt nok er der ikke en straf for at crawle, kun for at videregive (kap. 4, §12)
Der er kun straf for at overtræde §10 stk 4 som meget specifikt handler om at videregive oplysninger om firmaer der ønsker reklamebeskyttelse,
Der er mange andre ting man ikke må (crawling f.eks.), men hvor overtrædelse ikke er staffesanktioneret.
Kan Version2 ikke grave lidt videre i denne sag, og få "gerningsmændene" i snak, en IT-advokat m.fl.?
Er det ulovligt at downloade en hjemmeside? - Eller er det ulovligt at viderdistribuere en hjemmeside på f.eks. ThePirateBay ? Jeg kan se et muligt copyright issue, hvis E&S ejer de oplysninger der nu er lagt på ThePirateBay.
Er det ulovligt at downloade en hjemmeside? - Eller er det ulovligt at viderdistribuere en hjemmeside på f.eks. ThePirateBay ? Jeg kan se et muligt copyright issue, hvis E&S ejer de oplysninger der nu er lagt på ThePirateBay.
Ophavsret kan være relevant, især katalogbeskyttelsen (den enkelte CVR oplysning er ikke et værk), men det vil næppe være en sag for politiet. Krænkelse af ophavsret er normalt underlagt civil påtale.
Men måske vil CVR mene at der er tale om uautoriseret adgang til et edb system, altså hacking paragrafferne i straffeloven?
Sikke en masse spildtid politiet, deres kolleger i udlandet samt diverse isp'er nu skal bruge på nogle ip-adresser på en bunke virus-inficerede windows-maskiner. Alt sammen for noget der er offentligt tilgængeligt.
At lave opslag med den system-tilladte hastighed?
Så vidt jeg læser det er der ikke tale om SQL injection eller andre "tyvagtige" teknikker. Dermed må man vel konstatere, at "tyvene" blot har hentet tilgængelige data, der i øvrigt er offentligt tilgængelige, uden egentlig at bryde ind eller benytte sig af andre kriminelle teknikker.
"Den der bortfjerner fremmed rørlig genstand" er vist definitionen på tyveri (der er nok en datarelateret bestemmelse der passer bedre), så vidt jeg kan se er "genstanden" ikke fremmed.
Måske de er lang tid om at skrive anmeldelsen fordi de har lidt svært ved at passe hændelsen ind i gældende ret?
Kan jeg så ikke bare få 28 ip'er og sende 28 opslag afsted?
Eller alle, der synes det er forkert at tage penge for offentlige data, sætter en 'bot' til at hente en bid. En modificeret seti@home, for at se om der er intelligent liv hos CVR...
Hvordan hænger det sammen med:
Carsten Ingerslev fortæller, at han da ikke er særligt glad for hændelsen, men at den ikke får den store betydning for CVR, idet dataene egentligt er offentlige.
Hvis dataene egentlige er offentlige, er det vel ikke tyve?
Erhvervs- og Selskabsstyrelsen sælger info til Erhvervs- og Boligstyrelsen. Genialt! Frigiv selv oplysningerne så slipper vi for en masse administration.
"Normalt er der en system-blokering, der kun tillader brugere at lave 1 opslag pr. sekund. Det betyder, at det vil tage en maskine over ti år at tømme registeret."
Fantastisk at hver dansker i snit ejer over 51 virksomheder!
"Normalt er der en system-blokering, der kun tillader brugere at lave 1 opslag pr. sekund. Det betyder, at det vil tage en maskine over ti år at tømme registeret."
Han tæller formentlig p-numre opslag med, inaktive virksomheder, offentliggørelse af diverse indkaldelser osv.. Dog tvivler jeg stadig på 10 år... - men hvem ved, hvis alt revl og krat skal med...
/Johan
Man politianmelder altså nogen der ikke handlede ulovligt da de tilvejebragte informationerne.
mon ikke der er nogle copyright issues...