Kritisk sikkerhedsfejl hos dansk forsikringsselskab: CPR-oplysninger kan udvindes med enkelt hack

En sikkerhedsfejl hos forsikringsselskabet If Forsikring betyder, at hackere har kunnet lænse systemet for CPR-oplysninger i næsten to år.

Siden juni 2018 har brugere kunne udnytte forsikringsselskabet If Forsikrings it-systemer til at indhente CPR-oplysninger fra det officielle danske CPR-register.

Det skriver Version2.

En sikkerhedsfejl i selskabets hjemmeside har i perioden gjort, at brugere via enkle hacks, har kunnet lænse selskabets it-system for CPR-numre med tilhørende adresser.

Sårbarheden betegnes som værende kritisk, da den muliggør at hackere kan danne parallele CPR-registre til egen, eller andres, udnyttelse, vurderer sikkerhedskonsulent hos sikkerhedsfirmaet Improsec Anders Kusk ifølge mediet.

Læs også: Sådan finder du ud af om DXC Technology har lækket dit cpr-nummer til Google eller Adobe

Fortsat sårbar
Sikkerhedshullet kunne været blevet lappet på enkel vis, lyder det, ved eksempelvis at indføre en såkaldt ’captcha’, der vil kunne skelne brugere fra software-robotter.

Fejlen blev opdateret ved et tilfælde af en ph.d studerende i it-sikkerhed, som efterlyste et tilbud på bilforsikring.

Her opdagede han, at det via hjemmesiden kan afprøves om et CPR-nummer er aktivt, en proces der kan automatiseres til at finde de tilhørende adresser.

Den del af sårbarheden, der kan benyttes til at opsnappe valide CPR-numre er fortsat åbent.

If Forsikring forklarer overfor mediet, at angrebets natur er teknisk, og at hackere skal ’langt bag om de tekniske data’ for at udnytte selskabets hjemmeside.

For at lænse hjemmesiden for CPR-oplysninger kræver det massiv trafik, som selskabet vil have opdaget, lyder det.

Selskabet udelukker samtidigt, at der har været misbrug eller forsøg på misbrug, hvorfor If Forsikring heller ikke har meldt episoden til Datatilsynet.

Senest har Odense Universitetshospital meldt sig selv til Datatilsynet, efter uforvarende at have lækket 3.903 danskeres personnumre, ved at dele et dokument med personfølsomme oplysninger med 15 fagfolk.

Læs også: Dansk sygehus har lækket 3.903 cpr-numre: Melder sig selv til Datatilsynet


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Staten blev advaret om store negative konsekvenser ved Netcompanys corona-app
Den corona-app, som Netcompany i øjeblikket udvikler for staten, baserede sig i første omgang på en dataindsamlingsmodel, der kunne få meget store negative konsekvenser for borgerne, lød advarslen fra en privacy-konsulent som styrelsen havde hyret.
Computerworld
Forsvarsministeren overvejer at give dansk politi lov til at blokere for websites uden dommerkendelse
Forsvarsminister Trine Bramsen (S) vil diskutere muligheden for at give politiet mulighed for at blokere for websites uden dommerkendelse.
CIO
Podcast: Pandoras CIO Peter Cabello afslører sine tre vigtigste mål for digitaliseringen
Podcast, The Digital Edge: Hør Pandoras CIO Peter Cabello Holmberg fortælle om, hvordan et af verdens største smykkefirmaer arbejder med innovation og digitalisering af et traditionel offline salg, og hvordan Pandora udnytter data til at skabe en bedre kundeoplevelse.
White paper
Få arkitekturen på plads uden omfattende specialtilpasninger eller kodefærdigheder
I dette whitepaper får du en indsigt i KMDs WorkZone informationsplatform til private og offentlige virksomheder. Med WorkZone kan du modellere din specialiserede forretningsunderstøttelse entitet for entitet, opgave for opgave, proces for proces, så informationsarkitekturen flugter meget præcist med krav og ønsker. Og fordi KMD WorkZone er baseret på standardkomponenter og bliver driftet af KMD, er der altid styr på sikkerhed, governance og compliance. Dette whitepaper beskriver, hvordan KMD WorkZone fungerer som navet i en samlet informationsarkitektur på tværs af systemlandskabet og de enkelte fagløsninger. KMD WorkZone til understøttelse af eksempelvis Case Management, Records Management, Content Management, Contract Lifecycle Management og en række andre datadiscipliner uden behov for omfattende analyse, modellering eller konfigurationsprojekter.