Kritisk sikkerhedsfejl hos dansk forsikringsselskab: CPR-oplysninger kan udvindes med enkelt hack

En sikkerhedsfejl hos forsikringsselskabet If Forsikring betyder, at hackere har kunnet lænse systemet for CPR-oplysninger i næsten to år.

Artikel top billede

Siden juni 2018 har brugere kunne udnytte forsikringsselskabet If Forsikrings it-systemer til at indhente CPR-oplysninger fra det officielle danske CPR-register.

Det skriver Version2.

En sikkerhedsfejl i selskabets hjemmeside har i perioden gjort, at brugere via enkle hacks, har kunnet lænse selskabets it-system for CPR-numre med tilhørende adresser.

Sårbarheden betegnes som værende kritisk, da den muliggør at hackere kan danne parallele CPR-registre til egen, eller andres, udnyttelse, vurderer sikkerhedskonsulent hos sikkerhedsfirmaet Improsec Anders Kusk ifølge mediet.

Læs også: Sådan finder du ud af om DXC Technology har lækket dit cpr-nummer til Google eller Adobe

Fortsat sårbar

Sikkerhedshullet kunne været blevet lappet på enkel vis, lyder det, ved eksempelvis at indføre en såkaldt ’captcha’, der vil kunne skelne brugere fra software-robotter.

Fejlen blev opdateret ved et tilfælde af en ph.d studerende i it-sikkerhed, som efterlyste et tilbud på bilforsikring.

Her opdagede han, at det via hjemmesiden kan afprøves om et CPR-nummer er aktivt, en proces der kan automatiseres til at finde de tilhørende adresser.

Den del af sårbarheden, der kan benyttes til at opsnappe valide CPR-numre er fortsat åbent.

If Forsikring forklarer overfor mediet, at angrebets natur er teknisk, og at hackere skal ’langt bag om de tekniske data’ for at udnytte selskabets hjemmeside.

For at lænse hjemmesiden for CPR-oplysninger kræver det massiv trafik, som selskabet vil have opdaget, lyder det.

Selskabet udelukker samtidigt, at der har været misbrug eller forsøg på misbrug, hvorfor If Forsikring heller ikke har meldt episoden til Datatilsynet.

Senest har Odense Universitetshospital meldt sig selv til Datatilsynet, efter uforvarende at have lækket 3.903 danskeres personnumre, ved at dele et dokument med personfølsomme oplysninger med 15 fagfolk.

Læs også: Dansk sygehus har lækket 3.903 cpr-numre: Melder sig selv til Datatilsynet

Læses lige nu

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S