Vestager lukker for CPR-validering efter afsløring - teleselskaber protesterer

Illustration: REDPIXEL.PL/Bigstock
Det skal være slut med at bruge CPR-numre på teleselskabernes hjemmesider, fordi det kan misbruges. I stedet bør selskaberne bruge NemID, mener Margrethe Vestager.

Fra udgangen af august må teleselskaber, banker og andre tjenester ikke længere benytte CPR-numrene til identifikation af kunderne i selskabernes selvbetjeningsløsninger. Det har CPR-kontoret besluttet, oplyste økonomi- og indenrigsminister Margrethe Vestager på et samråd i Folketingets kommunaludvalg fredag.

Beslutningen kommer som konsekvens af, at løsningerne kan misbruges til at validere, om et givent CPR-nummer er gyldigt for en bestemt person, sådan som Version2 tidligere har beskrevet.

Læs også: Så let finder du et hvilket som helst CPR-nummer

»CPR-validering skal indrettes således, at uvedkommende ikke kan validere sammenhæng mellem CPR og navn. Vi har løbende overvejet, om vi skal fjerne muligheden for CPR-validering. Vi har vurderet, at det har tjent et sagligt og fornuftigt forhold, nemlig at sikre en kundes identitet, og har været en fordel for kunde såvel som virksomheder. Der er imidlertid sket meget, siden det er blevet muligt at lave denne CPR-validering,« sagde Margrethe Vestager.

Margrethe Vestager var én blandt flere fremtrædende politikere, som fik udstillet deres CPR-numre på internettet, da en ung it-studerende lavede et program, som kunne udnytte de forskellige CPR-valideringstjenester til at afprøve de forskellige kombinationer ud fra navn og fødselsdato.

»Jeg mener, at tiden er inde til at afskaffe denne løsning. Der er kun få tilbage, der bruger den. Virksomhederne må selv arbejde for at sikre identitet på kunderne,« sagde Margrethe Vestager.

Læs også: It-studerende sigtet for at offentliggøre Thornings CPR-nummer

CPR-kontoret har meddelt de selskaber, som benytter sig af CPR-validering, om, at de skal finde en anden løsning med udgangen af august. Margrethe Vestager pegede på NemID, men den løsning er ikke god nok, lyder det fra teleselskabernes brancheorganisation Teleindustrien.

»Et alternativ er at etablere løsninger baseret på NemID. Dette vil dog navnlig være relevant at overveje nærmere, når NemID-løsninger også er mulige at anvende på mobiltelefoner og tablets, hvilket de ikke er i dag. Endvidere er det forbundet med væsentlige omkostninger at implementere og drive sådanne løsninger,« skriver direktør Jakob Willer fra Teleindustrien i et åbent brev til Margrethe Vestager.

Ifølge Jakob Willer har de nuværende løsninger bygget på, at en bruger fik tre forsøg til at validere et CPR-nummer, hvorefter brugeren blev udelukket fra at prøve igen i en periode, hvis alle tre forsøg fejlede.

En mobiludgave af NemID, som i dag kræver, at systemet kan afvikle en Java-applet, hvilket ingen mobilstyresystemer kan, ventes først klar i løbet af 2014.

Teleselskaberne mener imidlertid, at problemet ikke ligger i, at man kan validere et CPR-nummer gennem deres hjemmesider, men i at andre tjenester benytter CPR-nummeret til autentifikation, så et gyldigt navn og CPR-nummer kan give adgang til at foretage handlinger i en anden persons navn.

»Teleindustrien opfordrer Økonomi- og Indenrigsministeriet til at rette fokus mod det reelle problem i relation til CPR, som ikke består i en teoretisk mulighed for afsløring af CPR-numre, men i at CPR-numre tilsyneladende nogle steder kan anvendes til at legitimere sig med og blive betjent på baggrund af. CPR-nummeret er ikke en hemmelig pinkode,« skriver Jakob Willer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Allan S. Hansen

Teleselskaberne mener imidlertid, at problemet ikke ligger i, at man kan validere et CPR-nummer gennem deres hjemmesider, men i at andre tjenester benytter CPR-nummeret til autentifikation, så et gyldigt navn og CPR-nummer kan give adgang til at foretage handlinger i en anden persons navn.

»Teleindustrien opfordrer Økonomi- og Indenrigsministeriet til at rette fokus mod det reelle problem i relation til CPR, som ikke består i en teoretisk mulighed for afsløring af CPR-numre, men i at CPR-numre tilsyneladende nogle steder kan anvendes til at legitimere sig med og blive betjent på baggrund af. CPR-nummeret er ikke en hemmelig pinkode,« skriver Jakob Willer.

Alt andet er symptom behandling.

Jan Gundtofte-Bruun

teleselskaber, banker og andre tjenester ikke længere benytte CPR-numrene til identifikation af kunderne i selskabernes selvbetjeningsløsninger

Hmm, hvem mon "andre tjenester" er, og gælder CPR-forbuddet kun for online handlinger? Eller betyder det, at vi heller ikke længere må registrere os med Margrethe's CPR-nummer når vi lejer videofilm, indskriver os til fitness, osv? Og føres der mon kontrol med, om Blockbusters ekspedienter ikke længere spørger om CPR-nummer når kunden siger "øæh, mit kort ligger vist i den anden jakke"? Ja, hun har i sandhed fået bugt med CPR-problematikken!

Andreas Bach Aaen

Teleselskaberne har ret - CPR-numre bør ikke være hemmelige. Det er et unikt ID eller et brugernavn, men det er IKKE er kodeord.

Jeg kan ikke acceptere NemID tilauthentifikation, hvis jeg ikke selv har den private nøgle. OCES NemID er en login-løsning!
Hardware udgaven af NemID er der jo desværre i praksis nærmest ingen der understøtter.

Digital signatur kunne være løsningen, men den har vi jo fået kørt i sænk :-(

Niels Didriksen

Ligeledes enig. Alt andet betyder at Vestager STADIGT ikke har løftet sit forståelsesniveau en millimeter.

Også meget symptomatisk, at vore politikere har fået opbygget en primal-refleks, der gør at de tankeløst råber NEEEM-IIID!!! af alt hvad der har med sikkerhed at gøre, og tror at problemerne så bliver skræmt væk af deres myndige stemme..

Pelle Nielsen

Teleselskaberne bruger da CPR nummerer til verifikation af kunden.
Så hvis CPR ikke er hemligt, så fungere deres system ikke.

Er det ikke prisen for implementering af Memid, som er deres stor problem?

Hans Schou

Det er helt omvendt Margrethe Vestager griber fat i det.

Det ville være meget bedre om teleselskaberne bare havde ét felt: CPR-nummer

Indtast dit CPR-nummer og så har de allerede alle oplysninger om dig. Nemt og servicevenligt.

Så kommer trin 2: legitimering (autentificering). Her kan NemID allerede bruges fra andet kvartal 2014, men ellers er der mange andre muligheder. Børn og gamle der ikke har NemID, kan bare få en der har det, til at legitimere. Et slags vitterlighedsvidne.

Torben Rohde

Teleskaberne bruger ikke CPR til validering (i hvert fald ikke kun :-). De bruger det bl.a. også til at checke folk i RKI, hvilket jo er nemmest med et unikt (CPR) nummer, frem for Jens Hansen, Tværstræde 5. De checker også op mod CPR at den oplyste adresse matcher deres folkeregister-adresse.
Men man kan selvfølgelig stadig chikane-tilmelde andre deres produkter...

Søren Helsted

Det er godt at der nu politisk endelig er forståelse for, at CPR nummeret ikke kan bruges til authentifikation. At den forståelse er kommet pludseligt kan ses af at man i den offentlige digitalisering ikke har en løsning der virker på alle platforme. NemID bruges ofte som den nøgle der skal bruges, men som de fleste (især herinde) er enige om, er NemID en ikke optimal løsning da den er platformsafhængig og meget lidt bruger venlig (især pga langsomhed og afhængigheden af Java som kræver uendelige opdateringer og f.ex. ikke findes mobilt). Interessant nok kan Bankers mobile netbanker bruge NemID... Hvem kan komme med en universel, sikker og brugervenlig måde at authentikere borgere på? Vi har brug for den hvis samfundets digitaliseringsniveau skal hæves over den ambition der findes i øjeblikket. Og det skal den.

Jesper Lund

Der er lidt mere info på http://www.teleindu.dk/cpr-sikkerhed/

Imidlertid har en række teleselskaber den 25. juni 2013 modtaget skrivelser fra CPR-kontoret, der indebærer, at selskaberne senest med udgangen af august 2013 skal ændre den måde, selskaberne anvender information fra CPR-registret og indretter selvbetjeningsløsninger. Inden udgangen af august 2013 skal selvbetjeningsløsninger indrettes således, at tilbagemeldinger på indtastede data skal være af en sådan karakter, at resultatet af en validering mod CPR ikke afsløres for brugeren. Dette udelukker de netop accepterede og etablerede løsninger med tre indtastninger og efterfølgende spærring.

Det undrer mig at denne regel skulle være ny. På CPR kontorets hjemmeside er denne instruks fra 31. maj 2012
http://cpr.dk/cpr/site.aspx?p=23&t=ForsideVisartikel&Articleid=4462

Tilbagemeldinger på indtastede data skal således være af en karakter, der ikke afslører resultatet af en validering mod CPR.

Teleselskabet kan godt bruge CPR validering, eller hvad vi nu skal kalde det. De må bare ikke meddele kunden med det samme om der er et match mellem navn, adresse og CPR nummer.

Men hvorfor er der også behov for det? Mobilabonnementer oprettes alligevel ikke med det samme. Der skal fremsendes et SIM kort til kunden.

Den nuværende begrænsning med tilbagemeldinger på max 3 forsøg virker ikke fordi der er så mange som bruger "CPR validering" at forespørgslerne til et brute-force angreb kan spredes på mange sites.

Det undergraver i øvrigt også teleselskabernes brug af CPR nummeret i forbindelse med oprettelse af et mobilabonnement, så det bør være i alles interesse at der nu stoppes helt for tilbagemeldinger til brugeren om match mellem navn og CPR nummer.

Jesper Lund

Teleselskaberne har ret - CPR-numre bør ikke være hemmelige.

Hvis du offentliggjorde alle CPR numrene, ville der være en masse procedurer som skulle laves om. Reelt ville du være nødt til at afskaffe CPR nummeret.

Du ønsker vel ikke at alle og enhver kan få oplyst om du står i RKI blot fordi de kender dit navn, og efter dit forslag kan finde din primære nøgle til RKI databasen på et offentligt tilgængeligt site?

Chano Klinck Andersen

Du ønsker vel ikke at alle og enhver kan få oplyst om du står i RKI blot fordi de kender dit navn, og efter dit forslag kan finde din primære nøgle til RKI databasen på et offentligt tilgængeligt site?

Det ville man ikke kunne få oplyst, hvis RKI sørger for at validere forspørgslerne, så man sikre at infromationerne i RKI ikke kommer uvedkommende i hænde.

CPR kontrol på f.eks. et e-handelssite, har en stor fordel i det man sikre mod at adressen er indtastet forkert. Du kan ganske nemt slå CPR og postnummer eller lignende op, få adressen, og se om det er tastet rigtigt. Hivs ikke kan du bede brugeren forsøge igen.

Du kan naturligvis også kontrollere om vejnavnet er korrekt, og nummeret findes, på anden vis, men ikke om Hans Jensen bor på adressen.

Jesper Lund

Det ville man ikke kunne få oplyst, hvis RKI sørger for at validere forspørgslerne, så man sikre at infromationerne i RKI ikke kommer uvedkommende i hænde.

Hvem er uvedkommende her?

Der er formentlig adskillige tusinde virksomheder som kan lave RKI opslag. Hvordan skal RKI vide om jeg ønsker at få kredit hos en af disse virksomheder?

Jeg så gerne en anden model hvor jeg eksplicit skulle authentificere hver eneste udlevering af data fra RKI (til virksomheder som jeg ønsker kredit hos), men det kommer næppe til at ske i et land hvor man ikke tager persondatabeskyttelse alvorligt.

Jeg har derfor ikke andre alternativer end at prøve at holde mit CPR nummer hemmeligt, og derfor er jeg glad for at der bliver lukket for muligheden for at bruge CPR kontoret til brute-force angreb på mit CPR nummer. Det er nok CPR-Søren som har provokeret dem til at gøre det.

Henrik Madsen

Fat det nu.

Uanset hvor meget tvang du forsøger dig med og hvor meget du forsøger at vride min arm om på ryggen så vil det aldrig lykkedes dig at få mig til at benytte SkodID i dens nuværende form.

Den dag der kommer en løsning som ikke forlanger at få lov til at scanne min computer (Og som for i øvrigt slet ikke har den slags adgang til min computer)og den dag hvor jeg selv kan opbevare en del af min digitale signatur og løsningen virker, både på min mobil, min tablet og min PC samt løsningen virker på alle sider og tjenester som benytter SkodID....Den dag vil jeg overveje at få SkodID.

Indtil da truer, presser, tvinger og vrider du bare armen om på mig ALT det du gider, det kommer ikke til at ændre en skid.

Mads Larsson

Hele problemet ligger ved teleselskaberne.

Ved at kunne et simpelt CPR-nummer, så kan man oprette dyre afdragsordninger via internettet eller over telefonen.

Derefter er det offeret der sidder med et problem. Vedkommene skal til at bøvle med at underskrive tro og love erklæringer og bøvle med at komme ud af RKI, og jeg ved ikke hvad. Alt sammen fordi at teleselskaberne har en hjernedød måde at verificere personer på.. Nemlig ved at man oplyser et simpelt CPR-nummer.
Som jeg læser artiklen, så kan teleselskaberne stadig forsætte med netop dette efter august.

Log ind eller Opret konto for at kommentere