Kritisk sikkerhedsfejl hos dansk forsikringsselskab: CPR-oplysninger kan udvindes med enkelt hack

En sikkerhedsfejl hos forsikringsselskabet If Forsikring betyder, at hackere har kunnet lænse systemet for CPR-oplysninger i næsten to år.

Siden juni 2018 har brugere kunne udnytte forsikringsselskabet If Forsikrings it-systemer til at indhente CPR-oplysninger fra det officielle danske CPR-register.

Det skriver Version2.

En sikkerhedsfejl i selskabets hjemmeside har i perioden gjort, at brugere via enkle hacks, har kunnet lænse selskabets it-system for CPR-numre med tilhørende adresser.

Sårbarheden betegnes som værende kritisk, da den muliggør at hackere kan danne parallele CPR-registre til egen, eller andres, udnyttelse, vurderer sikkerhedskonsulent hos sikkerhedsfirmaet Improsec Anders Kusk ifølge mediet.

Læs også: Sådan finder du ud af om DXC Technology har lækket dit cpr-nummer til Google eller Adobe

Fortsat sårbar
Sikkerhedshullet kunne været blevet lappet på enkel vis, lyder det, ved eksempelvis at indføre en såkaldt ’captcha’, der vil kunne skelne brugere fra software-robotter.

Fejlen blev opdateret ved et tilfælde af en ph.d studerende i it-sikkerhed, som efterlyste et tilbud på bilforsikring.

Her opdagede han, at det via hjemmesiden kan afprøves om et CPR-nummer er aktivt, en proces der kan automatiseres til at finde de tilhørende adresser.

Den del af sårbarheden, der kan benyttes til at opsnappe valide CPR-numre er fortsat åbent.

If Forsikring forklarer overfor mediet, at angrebets natur er teknisk, og at hackere skal ’langt bag om de tekniske data’ for at udnytte selskabets hjemmeside.

For at lænse hjemmesiden for CPR-oplysninger kræver det massiv trafik, som selskabet vil have opdaget, lyder det.

Selskabet udelukker samtidigt, at der har været misbrug eller forsøg på misbrug, hvorfor If Forsikring heller ikke har meldt episoden til Datatilsynet.

Senest har Odense Universitetshospital meldt sig selv til Datatilsynet, efter uforvarende at have lækket 3.903 danskeres personnumre, ved at dele et dokument med personfølsomme oplysninger med 15 fagfolk.

Læs også: Dansk sygehus har lækket 3.903 cpr-numre: Melder sig selv til Datatilsynet



Premium
Coloplasts it-direktør: GDPR har givet de it-kriminelle et nyt værktøj til at angribe os
Interview: Det er ikke kun på plads og kapacitet, at sundhedssektoren lige nu er udfordret. De sikkerhedsansvarlige har også fået en del mere at se til gennem et kaotisk 2020. "Cyberkriminelle har opdaget, at der er en hel masse værdi i denne her datatype. Enten som afpresningsmulighed eller som viden, de kan udnytte til noget," siger CIO i Coloplast, René Rasmussen. Læs første artikel i serien om perspektiver fra sektoren, der er de it-kriminelles nye guldkalv
Computerworld
Intel taber retssag og skal betale to milliarder dollar: "Det er skandaløst"
Chipgiganten Intel har tabt en retsag i USA, og er blevet idømt en bøde på hele 2,1 milliarder dollar. Det er en af de største bøder for en patentsag i USA's historie.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Infrastruktur: Byg et velfungerende Data Estate i otte trin
Mange virksomheder trækker på så mange og righoldige datakilder, at det bliver stadig sværere at holde rede på alle de informationer, man har. Samtidig lever et traditionelt data warehouse sjældent op til hverken de aktuelle eller – i særdeleshed – fremtidige krav fra forretningen. Løsningen er at udvide til en egentlig Data Estate; et stykke kritisk infrastruktur som gør det muligt at opbevare, organisere, konsolidere og analysere organisationens samlede datamængde. Denne hvidbog giver et samlet billede af, hvordan man gennem otte trin bevæger sig mod at implementere og drage nytte af en Data Estate. Samt hvordan du prioriterer indsatsen, så den giver størst værdi for forretningen.