Artikel top billede

Sådan skal CPR sikres efter stort sikkerheds-hul

Efter to studerende blotlagde CPR-numre hos en række mobilfirmaer, har et af de eksponerede firmaer taget konsekvensen og ændret valideringsmetoderne.

Læs også:

It-studerende afslører kæmpe CPR-sikkerhedshul

CPR-hackere: Vi peger på et stort problem

Telebranchen har senest fået på puklen af to studerende fra IT-Universitetet for ikke at passe godt nok på kundernes CPR-numre.

Det demonstrerede de to studerende ved at udvikle et program, der kunne afsløre CPR-numre hos en stribe teleselskaber, der bruger personnummeret til validering i forbindelse med teleabonnementer.

Det har man nu taget konsekvensen af hos mobilfirmaet Call me.

"Sikkerhed i forbindelse med CPR-valideringen er en problemstilling, som vi har overvejet i nogen tid," fortæller Hanne Lindblad, der er administrerende direktør i teleudbyderen Call me, der har været et af målene for de to it-studerendes CPR-eksponering i sidste uge.

"Efter omtalen har vi besluttet, at ændre procedurerne til, at man kun kan indtaste CPR-nummeret tre gange. Det lukker det hul, som de to studerende demonstrerede," fortæller hun til Computerworld.

Samtidig har Call me endnu en stopklods på vej.

"Vi vil desuden implementere en såkaldt captcha-kode, et lille piktogram med en række tal eller bogstaver, der skal indtastes i et felt. Det vil dukke frem, hvis man indtaster det forkerte CPR-nummer en gang og er en løsning, som automatiserede forespørgsler har svært at komme uden om," siger Hanne Lindblad.

Er CPR-validering nødvendig?

Hvorfor bruger I overhovedet CPR-validering, nå der nu er et sikkerhedsproblem?

"Det gør vi, fordi der er en kredit involveret i kundeforholdet. Kunden betaler ikke forud, og da det er os, der lægger pengene ud, vil vi naturligvis også gerne have dem igen."

Har branchen ikke behov for en generel løsning i stedet for at hver udbyder kommer med sin egen løsning?

"Alle virksomheder, der giver en kredit til kunderne, har en interesse i en korrekt validering. Det er en balance mellem sikkerhed og brugervenlighed, og der kan sikkert skabes en bedre løsning, men det bør gøres på branche-niveau," lyder vurderingen fra Call me's direktør.

"Men det er vigtigt, at skabe et sikkert og trygt miljø, for tilliden er uhyre vigtig."

Læs også:

It-studerende afslører kæmpe CPR-sikkerhedshul

CPR-hackere: Vi peger på et stort problem




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere