Artikel top billede

Foto: Christian Rubek (Foto: Christian Rubek)

Sigtet it-mand bag CPR-lotteri: Det er meget ubehageligt

Søren Louv-Jansen synes, det er meget ubehageligt at blive sigtet for at fremvise problemerne med CPR-systemet i Danmark.

I en god sags tjeneste har Søren Louv-Jansen, partner og stifter af it-virksomheden Konscript, i over et år fremvist problemer med CPR-brugen i Danmark. Det er senest blevet til hjemmesiden CPR-lotteri, hvor man har kunnet gætte kendte folketingspolitikeres CPR-nummer.

Men det kan muligvis gå hen og få alvorlige konsekvenser for den unge it-udvikler.

Først mødte to politifolk op fra enten PET eller politiets it-efterforskningscenter NITES hos Søren Louv-Jansen og stillede spørgsmål til hjemmesiden.

"De kom onsdag, og jeg fortalte dem, at jeg havde taget sitet ned. Det var de fint tilfredse med, og sagde, at de ikke ville sigte mig, og jeg ville heller ikke høre mere til dem. De var vældig flinke," siger Søren Louv-Jansen.

Datatilsynet gav kontraordre

Men torsdag blev han alligevel ringet op af politiet, der gav ham den korte besked, at han nu var sigtet for at have offentliggjort CPR-numre.

"Jeg synes, det er rigtig ubehageligt, og det er unødigt," siger Søren Louv-Jansen og beskriver forløbet lidt nærmere:

"I forgårs skrev jeg et brev til Datatilsynet for at fortælle dem, at jeg havde lukket hjemmesiden, og at jeg gerne ville i dialog med dem. De har endnu ikke svaret mig, men jeg har i stedet modtaget den her politianmeldelse."

For efter hans udsagn er det lige præcis Datatilsynet, som har politianmeldt ham.

"Datatilsynet har givet kontraordre. De har ikke været tilfredse med, at jeg ikke blev siget," siger han.

Selvom han erkender, at han godt på forhånd vidste, at de nok vil blive lidt sure, så havde han aldrig troet, at det skulle komme til en sigtelse.

"Jeg synes, at de går efter mig i stedet for at løse det rigtige problem, som er det, jeg har forsøgt at gøre opmærksom på. Det er ikke særlig rart, og jeg synes, det er uberettiget."

Læs også: Hård kritik af CPR-sigtelse: Politiet har fat i den forkerte

Sådan gjorde jeg det

Problematikken med CPR-systemet bunder ifølge Søren Louv-Jansen i, at det bruges som et hemmeligt nummer og til verificering af identitet.

Det er også fint nok, hvis det havde været hemmeligt og utilgængeligt for uvedkommende. Men det er det langt fra, og det er hele sagens kerne, mener han. 

Han fortæller, at han meget simpelt har programmeret en Chrome-browser til at gå ind og klikke sig igennem et mobilsites oprettelsesformular.

Ved hjælp af et par basisinformationer som navn og fødselsdag forsøger programmet alle mulige kombinationer, indtil mobilsiden har accepteret et nummer, som den tjekker op mod CPR-databasen.

"Det er ikke sværere end det. Jeg synes ikke, jeg er dygtig af den grund - alle kan gøre det. Det er bare en idé, og når den blive spredt, så kan alle bare begynde at gøre det," siger Søren Louv-Jansen.

De hører ikke efter

Han fortæller videre, at han har forsøgt at sætte fokus på det i over et år. Flere gange har han således fremvist, hvor nemt det er at finde frem til CPR-numrene.

"Så siger Margrethe Vestager 'Ja, vi lukker for det med det samme. Nu kan man ikke gøre det længere'. Så går der jo ikke mere end et par dage, og så kan man finde et nyt hul," siger han.

Står det til Søren Louv-Jansen, er løsningen på problemet, at vi begynder at betragte CPR-nummeret som det, det er, nemlig helt offentligt.

"CPR-nummeret er i en gråzone lige nu. Nogle siger, at de er hemmelige, og andre siger, at de er offentlige. Hvis vi bare kunne tage det skridt at sige, at de er offentlige - så ville det gøre mange ting lettere. Så ville de ikke blive brugt som verifikation eller kodeord," siger han.

NemID kunne være en god løsning

NemID er ifølge den unge it-udvikler den oplagte løsning. For selvom der måske ikke er så mange, der er vildt begejstrede for systemet, så er den god på sigt, mener han.

"Den er meget sikrere end et CPR-nummer. Du har et brugernavn, der i øvrigt er dit CPR-nummer, og en adgangskode, du aldrig fortæller andre - plus en nøgle. Offline kunne man bruge et borgerkort, et sygesikringskort med billede for eksempel," siger han og slutter:

"Men der er sikkert mange andre klogere mennesker, der har nogle endnu bedre ideer end mig - de skal bare i gang med at finde den løsning, de synes er god - for rigtig meget er bedre end CPR-nummeret."

Søren Louv-Jansen har efter eget udsagn kun modtaget sigtelsen per telefon, og afventer i øjeblikket, hvad der nu kommer til at ske.

Læs også

Hård kritik af CPR-sigtelse: Politiet har fat i den forkerte

It-studerende afslører kæmpe CPR-sikkerhedshul

CPR-hackere: Vi peger på et stort problem




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere