Artikel top billede

Stort sikkerhedshul: Så nemt kan man stjæle dit cpr-nummer

Flere af telebranchens bestillingsportaler er det rene slaraffenland, hvis du ønsker at skaffe dig adgang til CPR-numre på danske statsborgere.

Læs også: Telefirmaer taget med bukserne nede: Anede intet om CPR-huller.

Televirksomhedernes bestillingsportaler er hullede som en si, selv om branchen har været opmærksom på problemet i mere end to år.

Hos virksomheden Oister var det indtil mandag muligt at trække alle CPR-numre ud for specificeret dato.

Det betød, at det eksempelvis har været muligt at anskaffe sig alle CPR-numre for personer, der fylder år 24. december 1988.

Tager blot 30 sekunder

Hos OK-Mobil skal du fortsat bruge blot 30 sekunder på at få adgang til andre personernes identitet gennem virksomheden bestillingsportal, der leveres af Telenor.

Det påviser Søren Louv-Jansen, der er medstifter af virksomheden Konscript.

I maj gjorde han første gang danskerne opmærksom på sikkerhedshullet sammen med en medstuderende fra IT-Universitetet i København.

Flere televirksomheder har siden maj lavet tiltag, der forsinker processen, så det i dag tager to dage at udtrække et cpr-nummer, hvor det tidligere tog omkring fem minutter.

Så nemt er det

Mens nogle teleselskaber har forsøgt at lappe deres løsning, har andre selskaber ikke har gjort noget. OK-Mobil (Telenor, red.) har slet ikke gjort noget. Faktisk har de så god service, at det kun tager 30 sekunder til et minut," fortæller Søren Louv-Jansen.

Han understreger samtidig, at han kun har undersøgt hjemmesiderne i et forsøg for påvise et fundamentalt problem ved CPR-systemet.

Hos Oister var det indtil mandag muligt at udtrække CPR-numre kun ved hjælp af en fødselsdato.

Hvis du gennem virksomhedens bestillingsportal angav fødselsdato, samt de sidste fire cifre i CPR-nummeret rigtigt efter et givent antal forsøg, fortalte Oisters hjemmeside selv, hvilket navn der gemte sig bag CPR-nummeret.

"Det var ikke nødvendigt at opgive et gyldigt navn - Postmand Per fungerede fint," fortæller siger Søren Louv-Jansen.

Læs også: Telefirmaer taget med bukserne nede: Anede intet om CPR-huller.

Derfor er tiltagene helt ligegyldige

Under den nye gennemgang af teleselskabernes hjemmesider fandt Søren Louv-Jansen hurtigt ud af, hvordan teleselskabernes nye sikkerhedstiltag nemt kunne omgås.

 Flere teleselskaber forsøger nu at sikre cpr-numrene ved at fastsætte en grænse for, hvor mange gange du kan forsøge at validere de sidste fire cifre på virksomhedens hjemmeside.

"Det tager længere tid. Problemet er bare, at det stadig er muligt at udtrække hele cpr-nummeret. Det tager bare to dage i stedet for fem minutter," siger Søren Louv-Jansen.

Efter tre forsøg registrerer televirksomheden, at der er blevet tastet forkert. 

Derefter lukker de adgangen for at validere en person ud fra fødselsdatoen i 30 minutter. Men hullet kan stadig udnyttes.

"Hvis jeg var kriminel, så er de her tiltag fuldstændigt ligegyldige," konstaterer Søren Louv-Jansen.

CPR-nummeret er lig med dårlig sikkerhedspolitik
Hullerne i teleselskabernes hjemmesider understreger for Søren Louv-Jansen, at tiden er løbet fra cpr-nummeret som valideringsredskab.

"Min pointe er, at cpr-nummeret ikke burde bruges som et password. Vi giver vores cpr-numre ud til højre og venstre, og vi kan ikke ændre numrene. Sammenligner du det med et almindeligt password, så er det altså rigtig dårlig password-politik," mener Søren Louv-Jansen.

Læs også:
It-studerende afslører kæmpe CPR-sikkerhedshul

Efter hård kritik: CPR-sikkerhed bliver ændret

Så længe har uhyre ringe CPR-sikkerhed været kendt

S: Få styr på CPR-sikkerhed eller vi kommer efter jer




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
iPaaS-webinar: Take advantage of key trends in a billion dollar-market

According to Gartner, by 2023, the iPaaS market is expected to grow well above $6 billion in revenue, thus becoming the largest segment in the integration platform technology market. To illustrate what iPaaS can do for your business, Flügger will outline how to overcome their integration challenges. Do not miss the opportunity to learn how a successful iPaaS implementation can improve your business outcomes.

07. maj 2021 | Læs mere


Brand din forretning og skab nye leads med Microsoft Dynamics 365 til marketing

Vidste du, at Microsoft Dynamics også byder på stærk funktionalitet til marketingafdelingen? På kun 1 1/2 time inspirerer vi dig til, hvordan du kan bruge Dynamics 365 Marketing til at brande din forretning og skabe nye leads.

17. maj 2021 | Læs mere


Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere






Premium
Test: Derfor vil jeg gerne have Google ind i min næste bil - og det er dårligt nyt for nogle bilproducenter
Googles Android Automotive er et vellykket styresystem til bilen, der vender op og ned på magtbalancen i bilbranchen. Computerworld har prøvekørt softwaren og har dommen klar.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
17 punkter med plads til forbedring: Sådan øger du din lønsomhed
Mange projektorienterede virksomheder hæmmes af ikke-optimale løsninger og besværlige, manuelle processer, som forringer effektivitet, overblik og lønsomhed. Her præsenterer vi 17 typiske udfordringer – og bud på, hvordan du kan afhjælpe situationen.