Kritisk sikkerhedsfejl hos dansk forsikringsselskab: CPR-oplysninger kan udvindes med enkelt hack

En sikkerhedsfejl hos forsikringsselskabet If Forsikring betyder, at hackere har kunnet lænse systemet for CPR-oplysninger i næsten to år.

Siden juni 2018 har brugere kunne udnytte forsikringsselskabet If Forsikrings it-systemer til at indhente CPR-oplysninger fra det officielle danske CPR-register.

Det skriver Version2.

En sikkerhedsfejl i selskabets hjemmeside har i perioden gjort, at brugere via enkle hacks, har kunnet lænse selskabets it-system for CPR-numre med tilhørende adresser.

Sårbarheden betegnes som værende kritisk, da den muliggør at hackere kan danne parallele CPR-registre til egen, eller andres, udnyttelse, vurderer sikkerhedskonsulent hos sikkerhedsfirmaet Improsec Anders Kusk ifølge mediet.

Læs også: Sådan finder du ud af om DXC Technology har lækket dit cpr-nummer til Google eller Adobe

Fortsat sårbar
Sikkerhedshullet kunne været blevet lappet på enkel vis, lyder det, ved eksempelvis at indføre en såkaldt ’captcha’, der vil kunne skelne brugere fra software-robotter.

Fejlen blev opdateret ved et tilfælde af en ph.d studerende i it-sikkerhed, som efterlyste et tilbud på bilforsikring.

Her opdagede han, at det via hjemmesiden kan afprøves om et CPR-nummer er aktivt, en proces der kan automatiseres til at finde de tilhørende adresser.

Den del af sårbarheden, der kan benyttes til at opsnappe valide CPR-numre er fortsat åbent.

If Forsikring forklarer overfor mediet, at angrebets natur er teknisk, og at hackere skal ’langt bag om de tekniske data’ for at udnytte selskabets hjemmeside.

For at lænse hjemmesiden for CPR-oplysninger kræver det massiv trafik, som selskabet vil have opdaget, lyder det.

Selskabet udelukker samtidigt, at der har været misbrug eller forsøg på misbrug, hvorfor If Forsikring heller ikke har meldt episoden til Datatilsynet.

Senest har Odense Universitetshospital meldt sig selv til Datatilsynet, efter uforvarende at have lækket 3.903 danskeres personnumre, ved at dele et dokument med personfølsomme oplysninger med 15 fagfolk.

Læs også: Dansk sygehus har lækket 3.903 cpr-numre: Melder sig selv til Datatilsynet


mest debatterede artikler

Premium
Her er Microsofts planer med Windows for 2021: Pønser på fire nye versioner
Windows 10 vil udkomme i et væld af nye afskygninger i det kommende år. Få overblikket her.
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Hvor klogt er dit netværk?
Er dit netværk klar til fremtiden? Nye tider kræver fleksibilitet. I denne eGuide får du en håndfuld konkrete eksempler på, hvordan du kan optimere og fremtidssikre virksomhedens netværk.