Siden juni 2018 har brugere kunne udnytte forsikringsselskabet If Forsikrings it-systemer til at indhente CPR-oplysninger fra det officielle danske CPR-register.
Det skriver Version2.
En sikkerhedsfejl i selskabets hjemmeside har i perioden gjort, at brugere via enkle hacks, har kunnet lænse selskabets it-system for CPR-numre med tilhørende adresser.
Sårbarheden betegnes som værende kritisk, da den muliggør at hackere kan danne parallele CPR-registre til egen, eller andres, udnyttelse, vurderer sikkerhedskonsulent hos sikkerhedsfirmaet Improsec Anders Kusk ifølge mediet.
Læs også: Sådan finder du ud af om DXC Technology har lækket dit cpr-nummer til Google eller Adobe
Fortsat sårbar
Sikkerhedshullet kunne været blevet lappet på enkel vis, lyder det, ved eksempelvis at indføre en såkaldt ’captcha’, der vil kunne skelne brugere fra software-robotter.
Fejlen blev opdateret ved et tilfælde af en ph.d studerende i it-sikkerhed, som efterlyste et tilbud på bilforsikring.
Her opdagede han, at det via hjemmesiden kan afprøves om et CPR-nummer er aktivt, en proces der kan automatiseres til at finde de tilhørende adresser.
Den del af sårbarheden, der kan benyttes til at opsnappe valide CPR-numre er fortsat åbent.
If Forsikring forklarer overfor mediet, at angrebets natur er teknisk, og at hackere skal ’langt bag om de tekniske data’ for at udnytte selskabets hjemmeside.
For at lænse hjemmesiden for CPR-oplysninger kræver det massiv trafik, som selskabet vil have opdaget, lyder det.
Selskabet udelukker samtidigt, at der har været misbrug eller forsøg på misbrug, hvorfor If Forsikring heller ikke har meldt episoden til Datatilsynet.
Senest har Odense Universitetshospital meldt sig selv til Datatilsynet, efter uforvarende at have lækket 3.903 danskeres personnumre, ved at dele et dokument med personfølsomme oplysninger med 15 fagfolk.
Læs også: Dansk sygehus har lækket 3.903 cpr-numre: Melder sig selv til Datatilsynet