Artikel top billede

It-studerende afslører kæmpe CPR-sikkerhedshul

To danske it-studerende har udviklet et program, der kan suge kundernes CPR-numre ud af teleselskaberne.

Læs også:

Borger afslører kommune i sjusk med CPR-numre

Kommune lukker webside efter sjusk med CPR-numre

På bare to dage udviklede to studerende på IT-Universitetet et program, der på baggrund af fødselsdato og adresse kan skaffe en persons CPR-nummer.

Det demonstrerer, at det er alt for nemt for it-kriminelle at få fat i følsomme oplysninger.

Mere konkret udnytter programmet, at en række danske teleselskaber benytter CPR-validering.

I praksis betyder det, at når brugeren eksempelvis opretter et mobilabonnement, skal vedkommende indtaste sit CPR-nummer og sin adresse, hvorefter systemet kontrollerer, om oplysningerne stemmer med dem, der står i CPR-registret.

Herefter udnytter de studerendes program den kendsgerning, at der kun er 270 gyldige CPR-numre til hver fødselsdato og køn.

"Når vi overhovedet gik i gang med at lave programmet, var det for at sætte fokus på, at CPR-numrene slet ikke er så godt beskyttet, som vi går rundt og tror."

"Det er alment kendt, at fødselsdatoer og adresser flyder rundt på åbne Facebook-profiler, uploadede cv'er og lignende, men at det ligefrem er så nemt at udvikle et program, der stort set giver uhindret adgang til folks CPR-numre, rystede os," fortæller Søren Louv-Jansen, der sammen med sin medstuderende Lasse Boisen Andersen har skabt programmet.

De to studerende understreger, at de kun har testet programmet på personer, der på forhånd har givet lov.

Dansk IT kræver forbud

Dansk IT er meget fortørnet over udmeldingen.

"Endnu et bevis for, at det er umuligt at holde CPR-numrene hemmelige," mener Dansk IT, der nu vil have sat en endelig stopper for, at CPR-nummeret anvendes som legitimation i kontakten med myndigheder, banker og andre.

"Vi har taget kontakt til Telekommunikations-industrien, så de teleselskaber, der bruger CPR-validering på en måde, der er let at misbruge, får mulighed for at lukke den åbne bagdør til CPR-registeret. Men det vil ikke løse det grundlæggende problem med, at CPR-numre er umulige at holde hemmelige," siger Klaus Kvorning Hansen, formand, Dansk IT.

Følsomme data sejler rundt på nettet

Ifølge Dansk IT er der store problemer med at holde på personlige oplysninger på nettet.

"Især fremkomsten af sociale medier, hvor folk deler oplysninger i flæng, har betydet, at personfølsomme oplysninger som CPR-numre flyder på nettet. Derfor bør de aldrig anvendes af myndigheder, banker og andre som en sikkerhedsnøgle til at bekræfte folks identitet," siger interesseorganisationen for it-branchen.

Problemet er ifølge Dansk IT, at såvel private virksomheder som offentlige myndigheder bliver ved med at sætte deres lid til, at stemmen i telefonrøret eller personen foran skranken er den samme, som gemmer sig bag de forjættede cifre, som vedkommende oplyser.

"Det er helt forfejlet på den måde at bruge personnummeret som legitimation," lyder det fra Klaus Kvorning Hansen.

"Med et CPR-nummer i hånden kan it-kriminelle opbygge en falsk identitet. I praksis kan de typisk skaffe fødselsattester, sundhedskort og lignende, som kan bruges til at tage lån, købe ind i andres navn eller få fat i personfølsomme oplysninger."

Dansk IT mener, at man i højere grad bør bruge NemID, billedlegitimation, underskrifter og biometriske løsninger til identifikation.

Læs også:

Borger afslører kommune i sjusk med CPR-numre

Kommune lukker webside efter sjusk med CPR-numre




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere