Artikel top billede

It-studerende afslører kæmpe CPR-sikkerhedshul

To danske it-studerende har udviklet et program, der kan suge kundernes CPR-numre ud af teleselskaberne.

Læs også:

Borger afslører kommune i sjusk med CPR-numre

Kommune lukker webside efter sjusk med CPR-numre

På bare to dage udviklede to studerende på IT-Universitetet et program, der på baggrund af fødselsdato og adresse kan skaffe en persons CPR-nummer.

Det demonstrerer, at det er alt for nemt for it-kriminelle at få fat i følsomme oplysninger.

Mere konkret udnytter programmet, at en række danske teleselskaber benytter CPR-validering.

I praksis betyder det, at når brugeren eksempelvis opretter et mobilabonnement, skal vedkommende indtaste sit CPR-nummer og sin adresse, hvorefter systemet kontrollerer, om oplysningerne stemmer med dem, der står i CPR-registret.

Herefter udnytter de studerendes program den kendsgerning, at der kun er 270 gyldige CPR-numre til hver fødselsdato og køn.

"Når vi overhovedet gik i gang med at lave programmet, var det for at sætte fokus på, at CPR-numrene slet ikke er så godt beskyttet, som vi går rundt og tror."

"Det er alment kendt, at fødselsdatoer og adresser flyder rundt på åbne Facebook-profiler, uploadede cv'er og lignende, men at det ligefrem er så nemt at udvikle et program, der stort set giver uhindret adgang til folks CPR-numre, rystede os," fortæller Søren Louv-Jansen, der sammen med sin medstuderende Lasse Boisen Andersen har skabt programmet.

De to studerende understreger, at de kun har testet programmet på personer, der på forhånd har givet lov.

Dansk IT kræver forbud

Dansk IT er meget fortørnet over udmeldingen.

"Endnu et bevis for, at det er umuligt at holde CPR-numrene hemmelige," mener Dansk IT, der nu vil have sat en endelig stopper for, at CPR-nummeret anvendes som legitimation i kontakten med myndigheder, banker og andre.

"Vi har taget kontakt til Telekommunikations-industrien, så de teleselskaber, der bruger CPR-validering på en måde, der er let at misbruge, får mulighed for at lukke den åbne bagdør til CPR-registeret. Men det vil ikke løse det grundlæggende problem med, at CPR-numre er umulige at holde hemmelige," siger Klaus Kvorning Hansen, formand, Dansk IT.

Følsomme data sejler rundt på nettet

Ifølge Dansk IT er der store problemer med at holde på personlige oplysninger på nettet.

"Især fremkomsten af sociale medier, hvor folk deler oplysninger i flæng, har betydet, at personfølsomme oplysninger som CPR-numre flyder på nettet. Derfor bør de aldrig anvendes af myndigheder, banker og andre som en sikkerhedsnøgle til at bekræfte folks identitet," siger interesseorganisationen for it-branchen.

Problemet er ifølge Dansk IT, at såvel private virksomheder som offentlige myndigheder bliver ved med at sætte deres lid til, at stemmen i telefonrøret eller personen foran skranken er den samme, som gemmer sig bag de forjættede cifre, som vedkommende oplyser.

"Det er helt forfejlet på den måde at bruge personnummeret som legitimation," lyder det fra Klaus Kvorning Hansen.

"Med et CPR-nummer i hånden kan it-kriminelle opbygge en falsk identitet. I praksis kan de typisk skaffe fødselsattester, sundhedskort og lignende, som kan bruges til at tage lån, købe ind i andres navn eller få fat i personfølsomme oplysninger."

Dansk IT mener, at man i højere grad bør bruge NemID, billedlegitimation, underskrifter og biometriske løsninger til identifikation.

Læs også:

Borger afslører kommune i sjusk med CPR-numre

Kommune lukker webside efter sjusk med CPR-numre




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
BI Excellence Day 2025

Kom og få indsigt i, hvordan du kan arbejde målrettet og struktureret med BI, så din virksomhed bliver i stand til at tage hurtige og datadrevne beslutninger, der understøtter din virksomheds strategi. Netværk og del erfaringer med ligesindede og mød eksperter, der kan give viden om de nyeste tendenser, og hvordan du gør brug af disse uden at gå på kompromis med compliance.

30. april 2025 | Læs mere


Cyber Briefing: Geopolitik og cloud

Private vs. public cloud - hybride løsninger der sikrer kritiske data. Overvejer din organisation at vende de amerikanske cloud-giganter i ryggen set i lyset af den geopolitiske situation? Vi dykker ned i en dugfrisk rapport og diskuterer mulighederne for en "Plan B".

05. maj 2025 | Læs mere


Virksomhedsplatforme i forandring: Hvordan navigerer du i den teknologiske udvikling?

Hvordan finder du balancen mellem cloud- og hybride løsninger? Hvordan integrerer du legacy-applikationer ind i dit nye ERP-setup? Hvordan undgår du at havne i statistikken over store ERP-projekter, der fejler eller overskrider budgetterne?

06. maj 2025 | Læs mere