Retspræsident: Loven afgør, at hjemmeside for tinglysning kan afsløre folks CPR-numre

Det er stadig muligt at gætte folks CPR-numre via hjemmesiden tinglysning.dk. Hvis det er et problem, så ligger fejlen ikke i it-systemet, men i lovgivningen, mener retspræsident for Tinglysningsretten Søren Sørup Hansen.

Trods lukning af sikkerhedshul er det stadig muligt at gætte sig til folks CPR-numre på hjemmesiden for den digitale tinglysning alene ved at kende en persons navn og fødselsdato. Sidstnævnte kan bruges til at generere en begrænset liste over mulige CPR-numre, som der så kan gættes ud fra.

Hjemmesiden har den senere tid været brugt til at blotlægge flere ministres CPR-numre. Og det lader altså stadig til at være muligt.

Normalt ville Version2 ikke omtale et øjensynligt sikkerhedshul, mens det stadig står åbent. Men når vi alligevel gør det, skyldes det, at det ifølge retspræsident i Tinglysningsretten Søren Sørup Hansen faktisk ikke er et sikkerhedshul. Men hjemmesiden giver altså mulighed for at gætte sig til folks CPR-numre.

Læs også: Forsvarsministeriet politianmelder CPR-aktivist for læk

»Ja, og det vil du kunne gøre med alle andre systemer også, der er bygget op på samme måde,« siger Søren Sørup Hansen.

Så det er ikke noget, der bliver fikset her og nu?

»Nej, det er den måde, systemet fungerer på. Og det fremgår decideret af loven, at man skal kunne søge oplysninger ved hjælp af personnummer og navn.«

Hjemmesiden for den digitale tinglysning kom for nylig i mediernes søgelys, da det kom frem, at den selvbestaltede frihedsaktivist og tidligere politimand Lars Kragh Andersen kunne afsløre statsminister Helle Thorning-Schmidts og forsvarsminister Nicolai Wammens CPR-numre som følge af opslag på hjemmesiden.

Læs også: Tidligere betjent udlover bitcoin-dusør for forsvarsministerens CPR-nummer

Kort efter, at det kom frem, at statsministerens CPR-nummer var blevet blotlagt, lukkede tinglysning.dk ned, og efterfølgende lød meldingen fra retspræsident Søren Sørup Hansen over for DR, at nu var hullet lukket. Men det er altså stadig muligt at finde frem til en persons CPR-nummer via hjemmesiden for den digitale tinglysning.

»Det er den officielle måde at gå ind i systemet på. Det er den måde, loven foreskriver, og der kan man selvfølgelig, hvis man er ihærdig nok og prøver med tilstrækkeligt mange kombinationer, på et eller andet tidspunkt være heldig. Sådan har det altid været. Det er der ikke rigtigt noget at gøre ved,« siger retspræsidenten og fortsætter:

»Det hul, vi lukkede i går, var en mulighed, man havde, hvis man bare tastede et validt CPR-nummer ind, så fik man returneret adressen og kunne dermed tilegne sig den pågældendes identitet. Og det må man ikke kunne. Det er et problem. Men det andet her, der indtaster du et rigtigt CPR-nummer og et rigtigt navn, og så kan du komme videre i systemet, det er den helt almindelige og gængse måde, man benytter sig af.«

Læs også: Digital tinglysning lukker for CPR-smuthul

Ifølge Søren Sørup Hansen drejer hullet, der blev lukket på hjemmesiden i går eftermiddags, mandag, sig således ikke om, at det er muligt at gætte sig frem til en persons CPR-nummer, men at systemet alene på baggrund af et indtastet CPR-nummer returnerede navn og adresse tilhørende nummeret.

Så det her med, at man kan validere CPR-nummeret, det skal man kunne, og du siger, det er fair nok, man kan gøre det samme med et navn?

»Det er den grad af sikkerhed, man kan lægge på det,« siger Søren Sørup Hansen.

Så hvis jeg kender statsministeren eller din fødselsdag, så kan jeg fremskaffe en liste, og så kan jeg afprøve dem systematisk?

»Det er jo et af de grundlæggende problemer ved CPR-systemet. Og derfor er problemet jo i virkeligheden ikke så meget, at du kan få et CPR-nummer, men mere det, at du kan bruge det. Vi har jo for eksempel lavet vores system, så du ikke kan bruge et CPR-nummer alene. Du skal koble det med digital signatur, hvis du skal disponere over fast ejendom. Og det er den vej rundt, man må løse det.«

Bare så jeg forstår dig helt korrekt: Du ser, som det er nu, ikke noget sikkerhedsmæssigt problem i det, og hvis der er et sikkerhedsmæssigt problem, ligger det ikke hos domstolsstyrelsens systemer, men generelt i den måde, CPR-numre bliver anvendt på i samfundet?

»Ja.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Foldager

Manden har jo helt ret. De skal leve op til lovgivningen, og det her er nu engang de begrænsninger der ligger i et system (CPR) hvor der kun er få muligheder pr. person for et korrekt nummer. Så må man bruge NemID eller lignende til yderligere sikkerhed.

Allan S. Hansen

Det er jo et af de grundlæggende problemer ved cpr-systemet. Og derfor er problemet jo i virkeligheden ikke så meget, at du kan få et cpr-nummer, men mere det, at du kan bruge det

Så mangler vi bare at politikerne også kan forstå dette og i stedet for at forsøge at "skjule" det farlige, men forholdsvis nemt at identificerer, CPR nummer lovgiver således at det ikke kan stå alene som autorisation for diverse handlinger.

Søren Koch

Doh!

Ifølge Jyllands Posten (http://jyllands-posten.dk/indland/ECE6810467/ny-sikkerhedbrist-giver-adg...)

bruger de en IT-løsning til at sløre folks CPR-numre PÅ INDSKANNEDE dokumenter NÅR DE VISES!

Nogen burde fortælle dem at det end ikke er teoretisk muligt at gøre det.
Tænk bare på hvor svært det er for spamfiltre at fjerne alle Viagra-mails der jo trods alt er almindelig tekst...

Og så tænke at man kan gøre det med indskannede dokumenter og OCR

Jeg er rystet over deres inkompetance.

Søren

Michael Fjeldsted

Søren Sørup Hansen har jo forstået problematikken og hvordan man bør bruge cpr. Når nu vi er kommet til den konklusion at cpr ikke er hemmeligt, er det så ikke på tide at vi laver det offentligt for alle?

Så må de sidste mobil og låne virksomheder også indse at de skal bruge mere end et offentligt kendt "id" på folk.

Steen Jørgensen

De fleste nogenlunde intelligente mennesker kan hurtigt blive enige om, at en verden, hvor du kan bilde folk ind, at du er hvem som helst, bare du kan et CPR-nr. udenad er tosset.

Men der er et enkelt aspekt af frigivelsen af CPR-numre, jeg ikke kan greje: Legitimation over telefonen.

Jeg kan simpelthen ikke lige se, hvordan man skal lave et system, hvor du over en telefonforbindelse kan sige noget, der kan bevise, hvem du er, som ikke senere kan bruges af personen i den anden ende til at udgive sig for dig. Nogen forslag?

Troels Henriksen

Jeg kan simpelthen ikke lige se, hvordan man skal lave et system, hvor du over en telefonforbindelse kan sige noget, der kan bevise, hvem du er, som ikke senere kan bruges af personen i den anden ende til at udgive sig for dig. Nogen forslag?

Det kan sandsynligvis ikke lade sig gøre i isolation, så man bør lade være med at forsøge. I kombination med en online-løsning, f.eks. en NemID-baseret side hvor man får en unik engangs-kode til brug i telefonen, kunne det lade sig gøre.

Anders Palm

Jeg kan simpelthen ikke lige se, hvordan man skal lave et system, hvor du over en telefonforbindelse kan sige noget, der kan bevise, hvem du er, som ikke senere kan bruges af personen i den anden ende til at udgive sig for dig. Nogen forslag?

Telefonen er generelt et dårligt medie at lave aftaler over der kræver god identifikation, men bortset fra det er der så nogen forskel på telefonen og anden kommunikation? :)

Det kan vel ikke være så svært at lave public/private key challenges over telefonen hvis man implementerer en tjeneste til det der er let at gå til.

Adam Tulinius

Jeg kan simpelthen ikke lige se, hvordan man skal lave et system, hvor du over en telefonforbindelse kan sige noget, der kan bevise, hvem du er, som ikke senere kan bruges af personen i den anden ende til at udgive sig for dig. Nogen forslag?

Man kunne i princippet give brugeren i telefonen et ID, og bede vedkommende om at lave et NemID-login der er koblet sammen med det udleverede ID. (ja, det kræver man stoler på NemID, osv. osv.)
Dette login ville så kræve en pc eller mobiltelefon med internet, og selvfølgelig ikke være en ren telefoni-løsning..

Steen Jørgensen

Dette login ville så kræve en pc eller mobiltelefon med internet, og selvfølgelig ikke være en ren telefoni-løsning.

Nej - men er det ikke netop det, der er problemet? Det eksisterende CPR-nummersystem tillader folk at kontakte myndigheder/læge etc. telefonisk og "legitimere" sig med et CPR-nummer. Uanset hvad vi finder på for at erstatte CPR-nummersystemet, vil moster Anna på 82 ikke kunne finde ud af det.

Christian Nobel

Prøvede lige en "sjov" lille ting:

Jeg har ikke NemID, men prøver at logge på et arbitrært sted med NemID.

Hvis jeg angiver et konstrueret CPR nummer, og et tilfældigt password så får jeg følgende fejlmeddelelse:

Incorrect user ID or password.

MEN hvis jeg prøver med mit eget CPR nummer, og igen et tilfældigt password, så får jeg denne fejlmeddelelse:

An error has occured
Your NemID is not enabled and does not have an activation code.
Order new accesscode

Jeg ved så ikke hvad der sker, hvis man har en aktiv NemID.

Kasper Henriksen
Morten Grouleff

Jeg får samme fejl umiddelbart af mit cpr samt forkert kode som du fik ved at ugyldigt cpr. Så åbenlyst er det ikke galt, jeg tror faktisk de har tænkt over den detalje i nemid-apletten.

Men der kan stadig sagtens være en anden forskel, måske i svartiden, måske i det overførte bagved, som afslører om det er et cpr-med-nemid eller ej. Det ville i så fald også kunne bruges til at afgøre om et tal er nogens CPR. Det har jeg ikke gravet i. Men det er heller ikke ret nyttigt at vide, uden at vide hvem det tilhører. Eller er det?

Esben Madsen

Men der er et enkelt aspekt af frigivelsen af CPR-numre, jeg ikke kan greje: Legitimation over telefonen.


Det er såmænd meget let... jeg prøvede det så sent som den anden dag da jeg måtte ringe til kommunen fordi min adresseændring åbenbart havde ført til at jeg var flyttet tv i stedet for th hvor jeg har købt lejlighed: De spørger ind til andre ting de kan slå op i systemet: "kan du fortælle mig nogle af de andre steder du har boet?" "hvor er du født?" o.l... tilsvarende hvis man skal have åbnet op for mere dagligt forbrug på sit visa-kort i udlandet: "Jeg kan se du købte noget for 597 kr i torsdags - hvilken butik var det i?"

Er det en 100% sikker procedure? ingenlunde... er den sikker nok til alle praktiske gøremål? jah, det er sporbar information der skal ændres, såeh... er den bedre end banker og andre der bare udleverer penge, opretter BS-aftaler og udsteder lån på et cpr-nummer? meget!

Flemming Nielsen

Nej - men er det ikke netop det, der er problemet? Det eksisterende CPR-nummersystem tillader folk at kontakte myndigheder/læge etc. telefonisk og "legitimere" sig med et CPR-nummer. Uanset hvad vi finder på for at erstatte CPR-nummersystemet, vil moster Anna på 82 ikke kunne finde ud af det.

Fuldstændig korrekt, og uanset hvor skarpe og intelligente debattørerne herinde på dette debat site er, så skal man nok aldrig glemme, at de myndigheder der i dagligdagen skal kunne betjene HELE befolkningen, med al dens diversitet, de faktisk er lovgivningsmæssigt forpligtet til at kunne være myndighed for ALLE borgere og være kontaktbare, uden at borgeren behøver at have skrevet 3 Ph.D.'er og arbejder på "the bleeding edge of technology".

Og med det sagt, kommer jeg af en eller anden årsag til at tænke på denne lille perle:

http://www.youtube.com/watch?v=A1XV1c9EUFo

Christian Nobel
Brian Moos Lindberg

Den eneste måde vi kommer det her cirkus til livs er at vi alle får et nyt CPR nummer.
Problemet med det nuværende er at det er databærende, så lad os alle få et nyt som ikke indeholder hverken oplysninger om fødselsdato eller køn.

Giv mig et nyt CPR nummer - jeg vil gerne være nummer 1 for det er let at huske...

Mvh.
Brian Moos Lindberg
Sønder Alle 16B 4. th
8000 Aarhus C

Nuværende CPR: 040382-1527
Ønsket CPR: 1
tlf. 31 174 174
mail: Brian@BlueEel.dk

Allan S. Hansen

Nej - men er det ikke netop det, der er problemet? Det eksisterende CPR-nummersystem tillader folk at kontakte myndigheder/læge etc. telefonisk og "legitimere" sig med et CPR-nummer. Uanset hvad vi finder på for at erstatte CPR-nummersystemet, vil moster Anna på 82 ikke kunne finde ud af det.

Det gør det nuværende system jo faktisk heller ikke.
Der antager man blot det er den rigtige person, fordi personen kan en simpel og usikker pin-kode.

"Moster Anna" på 82 har lige givet sit CPR til sin datter. Derfor er det ikke "Moster Anna" der identificerer sig overfor lægen, men datteren der identificerer "Moster Anna".
Nu har "Ondsindet Onkel Ole" så også fundet ud af "Moster Annas" CPR og derfor kan han identificerer sig overfor lægen og finde ud af "Moster Annas" sygehistorie.

Så problemstillingen er ikke anderledes end den er i dag hvor CPR allerede er en dårlig måde at identificerer sig på, også over telefonen, fordi vi blot antager at snakke med den korrekte person, fordi man kunne den pin kode.
Det er hele problemstillingen med CPR, og derfor det er så nemt at overtage en identitet.

Så essentielt kan man jo sige at få oplyst en sygehistorik og medicin m.m. og alt det der er naturligvis slemt;
Men når der kan opptage forbrugslån via CPR hvor du reelt ikke kan bevise det ikke er dig der har gjort det; Meld flytning uden du opdager det og dermed få nye identifikations papirer m.m.?

Der må også være en gradbøjning af hvilke problemstilling der skal løses først.

Men fælles for alle er at CPR er ekstremt dårlig, omend nem, måde at håndtere disse ting på. Så hvilke problemer ønsker vi at løse først fordi vi kan ikke løse alle på en gang.

Søren Nielsen

Ikke alene i Tingbogen kan man finder CPR nr., men man kan også slå en tilfældig nummerplade op i Bilbogen. Hvis der er gæld i bilen, fremgår både navn og det meste af CPR nummeret. Endvidere er det også nemt at finde adressen, hvis det er et specielst navn - og så kan man jo lige tjekke på Google Earth, og det er en pæn bil personen har, og om havearbejdet er ok.
Det er også her man finder stelnummer på bilen - nu mangler kun 4 ciffer, før man kan "skifte ejer" på bilen, og er ejeren en mand, er der jo ikke så mange tal der skal "gettes".

Flemming Nielsen

Principielt set har du ret, men kan du f.eks. fortælle mig hvordan man får et blåt sygesikringsbevis uden NemID?

Det ved du jo sikkert godt, at det pt. ikke kan lade sig gøre pga. den lovgivning der er vedtaget om tvungen digitalisering i den borgerrettede kontakt. Eneste nuværende alternativ jeg kan se, er at møde fysisk op i skranken hos kommunens Borgerservice og fremlægge noget foto-baseret identifikationsmiddel.

Men på længere sigt?

Biometrisk identifikation, retina-scanning etc. etc. + plus tilhørende solid kryptografi i alle nødvendige led og transmissioner. Men den slags løsninger og større arkitektur tiltag er vi vist ikke klar til endnu, hverken teknologisk eller lovgivningsmæssigt.

Et nyt CPR nr. system vil ikke løse noget - det er blot en gentagelse af den nuværende misere. Det duer simpelthen ikke at basere solid personidentifikation på en løsning, der alene fordrer indtastning/udtalelse af en streng alfanumeriske karakterer. Det skal gøres mere virkelighedsnært (biologisk), hvis det skal holde vand ;-)

Jesper S. Møller

Jeg kan simpelthen ikke lige se, hvordan man skal lave et system, hvor du over en telefonforbindelse kan sige noget, der kan bevise, hvem du er, som ikke senere kan bruges af personen i den anden ende til at udgive sig for dig. Nogen forslag?

Man dykker typisk ned i en tidligere gennemført transaktion med den part, man taler med. Eksempelvis: Sidst jeg talte med Nordea om et eller andet som krævede noget "hemmeligt", endte jeg med at måtte grave ned i nogle gamle papirer, jeg havde fået tilsendt, for at oplyse noget, vistnok et aftalenummer eller lign. Man kan ofte klare sig med den type information, der er bare brug for (mere) uddannelse af dem, der tager telefonen.

Jesper S. Møller

Et nyt CPR nr. system vil ikke løse noget - det er blot en gentagelse af den nuværende misere. Det duer simpelthen ikke at basere solid personidentifikation på en løsning, der alene fordrer indtastning/udtalelse af en streng alfanumeriske karakterer. Det skal gøres mere virkelighedsnært (biologisk), hvis det skal holde vand ;-)

NEJ! Hvis du er ude i biometri, så nej tak herfra. Jeg kan tilbagekalde min NemID hvis nogen aflurer kode og nøglekort. Jeg kan ikke tilbagekalde min tommelfinger, hvis nogen kopierer den.
Jeg kan vælge at udlevere kode og nøglekort til en angriber hvis jeg er truet på min person. Det gør vist ret ondt at udlevere sin tommelfinger.

Man skal bare have et mere "multikanalvenligt" PKI system, som kan bruges som en anden faktor. Eksemplet med telefonen:
Mig: "Kan du ikke lige forklare hvorfor mit kort er spærret? Jeg har MobilID 1234543."
Telefonsupporteren: "OK, du får lige et challenge fra os og skal svare '42'"
Min telefon brummer kort efter med et challenge fra Nordea, og jeg taster min PIN og challenge 42 ind.
Telefonsupporteren: "Ok, du er dig Jesper. Loftet er nået efter nogle transaktioner sent fredag nat."
Mig: "Ups!"

Mon ikke man kunne sætte sådan et system op på relativt kort tid, hvis man ville? Med smartphones som foretrukkent medie og NemSMS som fallback. Systemet kunne så bootstrappes med NemID (eller i den ideelle verden en rigtig PKI, hvor man selv ejede sin private nøgle).

Jørgen L. Sørensen

--- har jeg overset noget, eller er min uvidenhed for stor?

Hvis jeg går ind på "Personbogen - forespørgsler" (https://www.tinglysning.dk/tinglysning/forespoerg/personbogen/personboge...) og indtaster mit eget cpr-nr og navn får jeg blot at vide "Der er ingen registreringer med de angivne søgekriterier i Personbogen."

Det kan jeg ikke umiddelbart se er et problem.

Helle Eriksen

For et par år siden var der en person i Aftenshowet som påpegede et lignende problem på en eller anden hjemmeside, så det er absolut ingen nyhed.

Jeg er ikke ekspert i med et program at automatisere opslag på en hjemmeside som denne. Men hvis en regering eller anden gruppe besiddder et stort netværk af computere og foretager et 'langsomt' DDOS angreb over et par år, skulle man vel nok kunne besidde en database der indeholder næsten alle danskeres personnummer og adresse uden nogen opdager det og det er på en måde et problem.

Martin Kofoed

For folk der ikke har slået "alias" til i NemID, og stadig logger ind med CPR-nummer, kan man jo altid more sig med at lave en fæl gang DoS. Mener det er fire forkerte forsøg der skal til, for at spærre en konto ...

Henrik Biering Blogger

... for det er ihvertfald ikke tinglysningsloven, der helt overlader til justitsministeren af fastsætte regler for brug af CPR-oplysninger VED TINGLYSNING

Stk. 2. Justitsministeren fastsætter nærmere regler om grundlaget for tinglysning, herunder eventuelt om oplysning om personnumre ved tinglysning i bilbog, andelsboligbog eller personbog, indleveringstid for dokumenter og indretning og førelse af dagbog, tingbog, bilbog, andelsboligbog og personbog samt videregivelse af oplysninger, herunder efter § 50 c.

mens det samtidigt utvetydigt fastslås i §50c at oplysninger om personnumre ikke må videregives.

§ 50 c. Oplysninger i edb-registrene om personnumre må ikke videregives.

Når hele meningen med tinglysningssystemet er at gøre forskellige typer oplysninger frit tilgængelige for offentligheden, så det forekommer absurd at spærre dem inde bag hver enkelt persons journalnummer hos det offentlige.

F.eks. kan det som vælger være yderst relevant at checke gældsoplysninger på en politiker, man overvejer at stemme på, for at vurdere om personen kan være under indflydelse af trediemand

Det giver derfor kun mening at kræve ekstra information udover almindeligt navn og aktuel adresse, hvis dette ikke er tilstrækkeligt til at sikre et entydigt personmatch ved opslaget.

Derimod giver det god mening at logge hvem der laver opslag i tingbøgerne, så man kan identificere evt. misbrugere af oplysningerne.

David Rechnagel Udsen

Mon ikke man kunne sætte sådan et system op på relativt kort tid, hvis man ville? Med smartphones som foretrukkent medie og NemSMS som fallback. Systemet kunne så bootstrappes med NemID (eller i den ideelle verden en rigtig PKI, hvor man selv ejede sin private nøgle).

Muligvis yderligere bruge postvæsenet som endnu en mulighed, skulle vedkommende ikke en gang kunne modtage SMS. Det vil selvfølgelig kræve en længere service tid (dage!), men det ville ikke fratage muligheden fra nogen at få oplyst disse informationer over telefonen mens sikkerheden var i orden. Selvfølgelig, i tilfælde af at man skal have det tilsendt med posten, er det jo nok nemmere at gå ned i banken selv, men der vil stadig være dem hvor det ikke vil være muligt selv at gå ned i banken.

Desuden, post som sikkerhedslag er faktisk ikke så skidt en ting endda. Det er noget nemmere at opsnappe data- og telefonforbindelser end hvad der er i et brev, uden nogen opdager det.

Jesper Lund

Principielt set har du ret, men kan du f.eks. fortælle mig hvordan man får et blåt sygesikringsbevis uden NemID?

Jeg henvendte mig på Borgerservice i min kommune (Frederiksberg). Den kommunale medarbejder tastede en bestilling ind, så var det klaret. Ingen spørgsmål om NemID. Hun spurgte endda om det skulle laves som en hastebestilling, eller om jeg kunne vente de normale 3 uger.

Log ind eller Opret konto for at kommentere