It-studerende afslører kæmpe CPR-sikkerhedshul

To danske it-studerende har udviklet et program, der kan suge kundernes CPR-numre ud af teleselskaberne.

Artikel top billede

Læs også:

Borger afslører kommune i sjusk med CPR-numre

Kommune lukker webside efter sjusk med CPR-numre

På bare to dage udviklede to studerende på IT-Universitetet et program, der på baggrund af fødselsdato og adresse kan skaffe en persons CPR-nummer.

Det demonstrerer, at det er alt for nemt for it-kriminelle at få fat i følsomme oplysninger.

Mere konkret udnytter programmet, at en række danske teleselskaber benytter CPR-validering.

I praksis betyder det, at når brugeren eksempelvis opretter et mobilabonnement, skal vedkommende indtaste sit CPR-nummer og sin adresse, hvorefter systemet kontrollerer, om oplysningerne stemmer med dem, der står i CPR-registret.

Herefter udnytter de studerendes program den kendsgerning, at der kun er 270 gyldige CPR-numre til hver fødselsdato og køn.

"Når vi overhovedet gik i gang med at lave programmet, var det for at sætte fokus på, at CPR-numrene slet ikke er så godt beskyttet, som vi går rundt og tror."

"Det er alment kendt, at fødselsdatoer og adresser flyder rundt på åbne Facebook-profiler, uploadede cv'er og lignende, men at det ligefrem er så nemt at udvikle et program, der stort set giver uhindret adgang til folks CPR-numre, rystede os," fortæller Søren Louv-Jansen, der sammen med sin medstuderende Lasse Boisen Andersen har skabt programmet.

De to studerende understreger, at de kun har testet programmet på personer, der på forhånd har givet lov.

Dansk IT kræver forbud

Dansk IT er meget fortørnet over udmeldingen.

"Endnu et bevis for, at det er umuligt at holde CPR-numrene hemmelige," mener Dansk IT, der nu vil have sat en endelig stopper for, at CPR-nummeret anvendes som legitimation i kontakten med myndigheder, banker og andre.

"Vi har taget kontakt til Telekommunikations-industrien, så de teleselskaber, der bruger CPR-validering på en måde, der er let at misbruge, får mulighed for at lukke den åbne bagdør til CPR-registeret. Men det vil ikke løse det grundlæggende problem med, at CPR-numre er umulige at holde hemmelige," siger Klaus Kvorning Hansen, formand, Dansk IT.

Følsomme data sejler rundt på nettet

Ifølge Dansk IT er der store problemer med at holde på personlige oplysninger på nettet.

"Især fremkomsten af sociale medier, hvor folk deler oplysninger i flæng, har betydet, at personfølsomme oplysninger som CPR-numre flyder på nettet. Derfor bør de aldrig anvendes af myndigheder, banker og andre som en sikkerhedsnøgle til at bekræfte folks identitet," siger interesseorganisationen for it-branchen.

Problemet er ifølge Dansk IT, at såvel private virksomheder som offentlige myndigheder bliver ved med at sætte deres lid til, at stemmen i telefonrøret eller personen foran skranken er den samme, som gemmer sig bag de forjættede cifre, som vedkommende oplyser.

"Det er helt forfejlet på den måde at bruge personnummeret som legitimation," lyder det fra Klaus Kvorning Hansen.

"Med et CPR-nummer i hånden kan it-kriminelle opbygge en falsk identitet. I praksis kan de typisk skaffe fødselsattester, sundhedskort og lignende, som kan bruges til at tage lån, købe ind i andres navn eller få fat i personfølsomme oplysninger."

Dansk IT mener, at man i højere grad bør bruge NemID, billedlegitimation, underskrifter og biometriske løsninger til identifikation.

Læs også:

Borger afslører kommune i sjusk med CPR-numre

Kommune lukker webside efter sjusk med CPR-numre

Event: Platform X 2027: Forretning, teknologi og transformation

It-løsninger |

Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

27 maj 2027 | Gratis deltagelse

Navnenyt fra it-Danmark

Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

Lauren De Ventura

emagine Expertise A/S

Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S

Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

Daniel Eriksson

Sharp Consumer Electronics

Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

Dan Toft

Pinksky ApS