Udvikler undersøgte fejl på hjemmeside og fik adgang til personoplysninger fra Motorregistret

"Christian Schmidt rettede efter opdagelsen henvendelse til EasyPark, som rettede fejlen i løbet af få dage for så at kvittere med et par biografbilletter"

Normal hører man, at folk bliver sagssøgt for hacking, når de gør opmærksom på kritiske fejl. Man må jo næsten rose EasyPark for belønne. Kunne flere lære af.

Når man søger i motorregisteret, så som her, eller igennem fx http://www.nummerplade.net/ så er ejerforholdet hemmeligt.
Men når jeg slår min bil op i 'BilBogen' på samme side, får jeg ikke bare mit fulde navn og fødselsdato, men også beløbet der er tinglyst på bilen at vide.
Jeg har set mobil apps der også oplyser adressen, så man kan se hvor vedkommende bor. I den henseende forstår jeg ikke at ejerforholdet skulle være så hemmeligt.

Er det fordi folk med gæld mister nogle rettigheder, som folk uden gæld har?

Jeg forstår heller ikke helt ejerforholdet er hemmeligt, eller brugerforholdet.
Snakkede med en Ferrari ejer, og de ejer aldrig bilerne, det er altid igennem et selskab, så de kun skal betale afgifter for den tid de har nummerpladen på.

Der er nogle personer der vil miste "status" hvis man kan se at de ikke selv ejer deres store biler. Eller hvad med bistandsklienterne i deres store sorte BMW'er til 1 mio DKK ? Og i Danmark er der stadig en masse af dette misundelseshurlumhej. Sjovt nok kan man se ejerforhold på noget dyrere, nemlig fast ejendom.

Gæld er relevant. Men her er det panthaver der er relevant, så man ved køb af en bil kan sikre at alle er betalt ud. Hvem der er optaget gælden er knap så relevant, men alle lån i Danmark tinglyses som regel.

Hvilke?

Navn og fødselsdato (men mig bekendt ikke adresse og CPR-nummer) er offentligt tilgængeligt, hvis der er gæld i bilen. Dette, og et hav af andre oplysninger om bilen, kan ses fx på http://www.nummerplade.net.

Hvis ejeren har et unikt navn og har gæld i bilen, vil det være muligt at finde vedkommendes adresse vha. Krak.dk eller lign.

Hvad jeg lige kan se, så er det i udgangspunktet ikke muligt at slå folks navn og adresse op via officielle kanaler alene med kendskab til registreringsnummeret. Når det er ligevel er muligt, såfremt der er gæld i køretøjet, via eksempelvis nummerplade.net, så hænger det formentlig sammen med, at hjemmesiden først scraber stelnummeret fra motorregister.skat.dk

Det kan så efterfølgende bruges til at lave et opslag i et andet register, nemlig Bilbogen under tinglysning.dk Og vupti, navn og måske adresse knyttet til køretøjet, såfremt der altså er gæld i det.

Mit umiddelbare gæt er, at dette næppe er tilsigtet, da det i udgangspunktet ikke kan lade sig gøre at slå et køretøj op via Bilbogens officielle hjemmeside alene med kendskab til registreringsnummeret. Men det forsøger vi at komme redaktionelt nærmere. Under alle omstændigheder tak for input. Jakob - Version2

Det kan du sagtens Jakob. Har haft lavet et iværksætterprojekt kaldet Dibiri til kreditvurdering og gæld opkrævning, og der har jeg udviklet et system til netop dette, som automatiserer de her opslag på kryds og tværs.

Kombiner det med fdm.dk's database over nypriser på bilerne og billeder af dem, og du kan vise noget rigtig info når folk slår en nummerplade op. "Bilen har 320 hestekræfter og en nypris på 802.500 kr og er 4 år gammel, og den nuværende værdi er derfor nedskrevet 41%".

Hvilke biler du ejer kan jeg ikke slå op nogen steder, lige som jeg heller ikke på et givent reg/vin-nummer kan slå op hvem der ejer pågældende køretøj. Sådan er reglerne vedtaget, det tror jeg ikke der er nogen der har noget imod. Personer/virksomheder med behov (parkeringsselskaber, synsvirksomheder, politi mv.) kan få adgang til disse oplysninger, da de har et dokumenteret behov.

Vedr. gæld; du og alle andre med gæld har ikke mistet nogen rettigheder. Når du låner og der gælden tinglyses på det pantsatte, her bilen, så registreres det i et offentligt register, dog med begrænset tilgængelighed af personlige oplysninger. Registreringen gør at panthaver har (forsøgt) sikret sine penge hvis du ikke betaler. Når du låner flere penge, så kan næste udlåner ikke få en bedre retsstilling ved at få pant i din bil. Han blive nummer 2 (eller 3 eller 4 eller...)

Tinglysningssystemet har fungeret sådan i flere hunderede år, så det bliver næppe lavet om overnight. Først for ejendomme, ægteskaber og fra ca 93 også for biler og campingvogne. Et pålideligt tinglysningssystem er grundlaget for at du kan låne til anskaffelsen af disse ting og til at du kan dokumentere ejerskabet og andre rettigheder af/over disse ting (dog ikke ejerskab af biler).

At registret er offentligt betyder at alle kan se hvad de køber, hvis du sælger din bil. Pantet, men ikke gælden, følger nemlig med[1]. Det kunne godt ske at have en virkning for prisen. Du kan godt, med ejerens velsignelse, have gæld i en bil du ikke ejer, men det er usædvanligt.

Der er nok intet nyt i denne historie, men bare at det nu (dvs. de sidste 5-10 år) er nemt at finde oplysninger fra flere offentlige registre gennem en app eller hjemmeside. At forbyde dette, svarer jo lidt til at forbyde joins i SQL statements. Du må ikke automatisk/nemt; du skal gøre det på den besværlige måde med flere opslag.

[1] Hvis du ikke betaler din gæld i dette tilfælde, så henter panthaver bare bilen hos den nye ejer som så er henvist til by/fogedret for at få pengene af dig. Men den nye ejer var advaret, gælden var tinglyst i det offentlige register. Hvordan var det mon gået hvis den oplysning var hemmelig?

Jeg var i kontakt med EasyPark i september via deres kontaktformular, hvor man også kan vedhæfte en fil undervejs.

Jeg fik en fin bekræftelsesmail med hvad jeg havde skrevet til dem og et link til min fil.

Desværre var deres system indrettet så directory listing var slået til i den mappestruktur de vedhæftede filer lå i, så jeg ville, såfremt jeg havde klikket mig videre tilbage i strukturen, kunne have tilgået andres vedhæftede filer fra deres dialog med EasyPark.

Jeg undlod naturligvis at klikke på noget og sendte en mail til EasyPark, det var omkring 19:30 om aftenen, allerede to timer senere havde ovennævnte Martin Pedersen svaret og lovet at de ville tage action på det med det samme.
Det holdt stik og fejlen var rettet dagen efter.

Det er dejligt når virksomheder tager deres ansvar seriøst, alle kan jo ske at lave fejl, men dejligt når de hurtigt tager action på at løse problemet og sige tak til dem der høfligt og konstruktivt har påpeget et potentielt problem.

Det kunne de virksomheder, som bare kaster politianmeldelser efter folk der faktisk blot vil hjælpe dem med at overholde reglerne, lære meget af

Det er et spørgsmål om privatliv. Det er efter min mening et problem at folk kan se ejerforhold på noget som helst i forhold til en genstand de bruger som transportmiddel. Jeg vil have lov til at besøge min elskerinde uden at de nysgerrige naboer sidder og snager i hvem jeg er baseret på mit køretøj. Myndigheder med et behov (hvis jeg vælger at lave noget kriminelt efter en god nat hos elskerinden) bør som de eneste være i stand til at fremskaffe den slags information.

Det kan jeg desværre ikke svare på, da det ikke var min mobil det blev testet / fremvist på... Jeg var selv lidt overrasket over at man kunne slå det op i motorregisteret, men det er selvfølgelige fordi appen sammenkører data fra tingbogen.

Den ret du her påberåber dig, har du jo så kun hvis du kan finansiere din bil uden lån, eller optager lånet igennem et skuffeselskab.

Det er da ellers ganske praktisk at kunne se at der er nogen der har pant i bilen og at det er dig der har stiftet gælden bilen er pantsat for.

Ellers kunne det nok hurtigt blive noget bøvl at handle bil privat, hvis man skal skaffe en dommerkendelse for at kunne se at det faktisk er dig der har det billån der er i den bil du står og er ved at sælge.

• Du kan jo bare lade være med at låne penge til at købe bil for, det er jo alligevel også bare fjollet og dyrt ;-)

.. indrømmet, jeg har også et billån, men det er uden pant i bilen og derfor ikke så dyrt i tinglysning og afgivelse af privatliv.

Nu stillede du selv spørgsmålet om hvorfor ejerforholdet skal være hemmeligt hvilket er akkurat det spørgsmål jeg udtrykker min holding for. Jeg synes bestemt ikke at nogle informationer baseret på en nummberpladse af nogen art skal være tilgængelige for folk der ikke har et behov. Dette gælder også eventuel gæld i bilen. DU har ikke noget behov for at se om jeg har gæld i min bil (den er ikke til salg) og derfor skal du heller ikke kunne se det for det for mit navn (og gæld) og min bils færden vedkommer ikke dig. Problemet her er at der altid er folk der vil bruge disse informationer til et eller andet når de er tilgængelige.

1: Kan du så ikke parkere den i en garage og smide nøglen væk?
2: Er det din bils færden du er bekymret for, eller er det din færden?

Hvis det er din færden du mener ikke rager os, så tag en frakke og hue på og GÅ ud og lav dine "ulykker"

Hvis man sælger sin bil, er man jo typisk indstillet på at videregive denne information (ellers vil ingen købe bilen).

Men det kan jo løses, uden at informationen behøver at blive gjort tilgængelig for alle andre, fx ved at sælger selv trækker en tingbogsudskrift forud for handlen eller på en eller anden måde (fx NemID-selvbetjening) giver køber fuldmagt til at slå de nødvendige informationer op i tingbogen.

En vilkårlig bilejer kan jo også vælge at have hemmelig adresse, så står der kun navn og fødselsdato i tingbogen og ikke nogen adresse..

En mulig køber af bilen har i første omgang kun brug for at vide om bilen er fri for pant/hæftelser, eller om der er tinglyst pant. Jeg ser derfor ikke noget problem i at alle og enhver kan se om der er tinglyst pant i en bil (ligesom i en ejendom).

Derimod mener jeg ikke det bør være nødvendigt at "alle og enhver" kan se hvem der har pant, og for hvor meget.

I handelstilfælde må sælger i givet fald kunne fremlægge dokumentation for hvem der har pant, og hvor meget. Samt hvorledes og hvor bilen kan gøres fri for pant.

Ejerforhold behøver ikke fremgå af bilbog (eller andre steder) - det viser registreringsattesten i handels-øjeblikket.

Det kunne ellers være en god "forretningsmodel" at aflæse nrplader ved grænsen, og så besøge adressen med koben og kassevogn.

Har du kigget på en nyere udgave af slagsen? Af den vil det fremgå hvem der ejer registreringsattesten, ikke hvem der ejer bilen. Der er juridisk stor forskel og sådan har der altid været.

Det er, endnu, ikke sådan at ejerskab af biler tinglyses. Hvis det gjorde, så kunne man helt undvære registreringsattesterne (:

De tekniske oplysninger fremgår jo af motorregistret, ligesom den registrerede ejer (der ikke behøver at være den civilretlige). De nødvendige tekniske oplysninger som der kan være brug for ved politiets vejkontrol fremgår allerede af påskrifter på køretøjet. Resten kontrolleres ved syn.

Jeg fik præsenteret mobil appen med nogenlunde samme formål. Det var dog en ide om at det skulle være farligt at parkere i lufthavnen, da kriminelle så kan køre rundt og aflæse nummerplader, og finde ud af hvem der sandsynligvis ikke er hjemme...

Jeg er fuld ud enig i at det ikke behøver at være offentligt kendt, at jeg skylder penge i min bil, eller hvor meget jeg skylder. Det er dog muligt i dag, og derfor nævner jeg det. Privatliv er ikke en givet ret, det er noget vi antager at vi har.

Det er sådan set kardinalpunktet.
Ved en hel række ting, har misbrug tidligere begrænset sig selv, fordi det var dyrt og besværligt.
Nu er det blevet billigt og nemt.
Netop derfor er der opstået et behov for at beskytte folk mod kriminelle (og sælgere) - selvom oplysningerne tidligere har været "frit" tilgængelige.

Retningslinjer for debatten

Når du deltager i debatten, forpligter du dig til at overholde nedenstående regler:

Indlæg skal holdes inden for emnet og føre debatten videre.

Stor ros for at de er hurtige til at reagere på henvendelser. Men de fejl der er beskrevet i denne artikkel og i kommentarerne, tyder da på at deres løsning er lavet af amatører?

Sender man bare en sådan opgave til billigste outsourcing leverandør, og sætter det i produktion uden at checke for bare de mest banala sikkerhedsbrølere?

Det må kunne gøres bedre

Nu er det jo ikke nødvendigvis sådan at alle virksomheder der anvender software er 100-meter mestre i at fejlsøge i den software de har indkøbt til formålet.

De fleste virksomheder som EasyPark har næppe egne udviklere siddende og kode på deres platforme, men løber an på at de har valgt samarbejdspartnere der har styr på tingene.

Du kan nok ikke forvente at en salgsorganisation laver codereview, eller i det hele taget har kendskab til det.