Læs også:
Borger afslører kommune i sjusk med CPR-numre
Kommune lukker webside efter sjusk med CPR-numre
På bare to dage udviklede to studerende på IT-Universitetet et program, der på baggrund af fødselsdato og adresse kan skaffe en persons CPR-nummer.
Det demonstrerer, at det er alt for nemt for it-kriminelle at få fat i følsomme oplysninger.
Mere konkret udnytter programmet, at en række danske teleselskaber benytter CPR-validering.
I praksis betyder det, at når brugeren eksempelvis opretter et mobilabonnement, skal vedkommende indtaste sit CPR-nummer og sin adresse, hvorefter systemet kontrollerer, om oplysningerne stemmer med dem, der står i CPR-registret.
Herefter udnytter de studerendes program den kendsgerning, at der kun er 270 gyldige CPR-numre til hver fødselsdato og køn.
"Når vi overhovedet gik i gang med at lave programmet, var det for at sætte fokus på, at CPR-numrene slet ikke er så godt beskyttet, som vi går rundt og tror."
"Det er alment kendt, at fødselsdatoer og adresser flyder rundt på åbne Facebook-profiler, uploadede cv'er og lignende, men at det ligefrem er så nemt at udvikle et program, der stort set giver uhindret adgang til folks CPR-numre, rystede os," fortæller Søren Louv-Jansen, der sammen med sin medstuderende Lasse Boisen Andersen har skabt programmet.
De to studerende understreger, at de kun har testet programmet på personer, der på forhånd har givet lov.
Dansk IT kræver forbud
Dansk IT er meget fortørnet over udmeldingen.
"Endnu et bevis for, at det er umuligt at holde CPR-numrene hemmelige," mener Dansk IT, der nu vil have sat en endelig stopper for, at CPR-nummeret anvendes som legitimation i kontakten med myndigheder, banker og andre.
"Vi har taget kontakt til Telekommunikations-industrien, så de teleselskaber, der bruger CPR-validering på en måde, der er let at misbruge, får mulighed for at lukke den åbne bagdør til CPR-registeret. Men det vil ikke løse det grundlæggende problem med, at CPR-numre er umulige at holde hemmelige," siger Klaus Kvorning Hansen, formand, Dansk IT.
Følsomme data sejler rundt på nettet
Ifølge Dansk IT er der store problemer med at holde på personlige oplysninger på nettet.
"Især fremkomsten af sociale medier, hvor folk deler oplysninger i flæng, har betydet, at personfølsomme oplysninger som CPR-numre flyder på nettet. Derfor bør de aldrig anvendes af myndigheder, banker og andre som en sikkerhedsnøgle til at bekræfte folks identitet," siger interesseorganisationen for it-branchen.
Problemet er ifølge Dansk IT, at såvel private virksomheder som offentlige myndigheder bliver ved med at sætte deres lid til, at stemmen i telefonrøret eller personen foran skranken er den samme, som gemmer sig bag de forjættede cifre, som vedkommende oplyser.
"Det er helt forfejlet på den måde at bruge personnummeret som legitimation," lyder det fra Klaus Kvorning Hansen.
"Med et CPR-nummer i hånden kan it-kriminelle opbygge en falsk identitet. I praksis kan de typisk skaffe fødselsattester, sundhedskort og lignende, som kan bruges til at tage lån, købe ind i andres navn eller få fat i personfølsomme oplysninger."
Dansk IT mener, at man i højere grad bør bruge NemID, billedlegitimation, underskrifter og biometriske løsninger til identifikation.
Læs også:
