Dansk mand sigtet for at afsløre CPR-sårbarheder

Annonceindlæg fra QNAP

Med myQNAPcloud One er skyen ikke længere grænsen for din digitale suverænitet

QNAP lancerer myQNAPcloud One: Delt cloudlagring til NAS-backups og skalerbare objekter. Ét abonnement, to tjenester til dine digitale aktiver.

"Jeg er nu officielt sigtet i sagen om #cprlotteriet. #dkpol #cpr #datatilsynet."

Sådan skriver Søren Louv-Jansen på sin Twitterprofil i dag.

Han er manden bag en dansk hjemmeside, der viser, hvor nemt det er at få fat på danskeres CPR-numre.

På hjemmesiden kunne man tidligere spille CPR-lotteri med kendte politikere. Her fik man mulighed for at gætte på forskellige politikeres CPR-numre, og til sidst ville man få at vide, hvor mange rigtige, man havde ramt.

Søren Louv-Jansen viste sidste år blandt andet på TV2, hvordan han på under tre minutter kunne skaffe en hvilken som helst danskers CPR-nummer. Eneste information, han havde brug for, var personens navn, fødselsdato og køn.  

Datatilsynet på banen

Går du ind på hjemmesiden i dag, er det dog ikke muligt at spille lotteri med CPR-numre længere.

Således skriver han i stedet, at han har fået et påbud af Datatilsynet, der har tvunget ham til at lukke ned for politiker-quizzen. Og efter hans eget udsagn er han altså nu sigtet.

"Dette udelukker ikke, at de fortsat vil retsforfølge mig," står der på hjemmesiden.

Ingen onde hensigter

Formålet med at vise, hvor nemt det er at skaffe sig adgang til CPR-numre, har efter hans eget udsagn intet at gøre med at ville misbruge informationen. 

"Mit mål har hele tiden været at gøre opmærksom på, at CPR-numre grundlæggende er offentlige og ikke bør være adgangsgivende til følsom information," skriver han og fortsætter:

"Ved at lukke for dette website, gør de mig til synderen, og fjerner fokus fra det egentlige problem: at CPR-numre stadig er offentligt tilgængelige - ikke kun for 'hackere'."   

Udviklet på to dage

For over et år siden skrev Computerworld om to studerende fra IT-Universitet, hvoraf Søren Louv-Jansen var den ene, der på bare to dage udviklede et program, der på baggrund af fødselsdato og adresse kunne skaffe en persons CPR-nummer. 

Dengang fortalte de, at programmet udnytter, at en række danske teleselskaber benytter CPR-validering. De understregede endvidere, at de kun havde testet programmet på personer, der på forhånd havde givet lov.

Det kan du læse mere om her. 

Computerworld har forgæves forsøgt at komme i kontakt med Søren Louv-Jansen for et telefoninterview. 

Læs også:

It-studerende afslører kæmpe CPR-sikkerhedshul

Sådan opdager du misbrug af dit CPR-nummer

Borger afslører kommune i sjusk med CPR-numre