Tema Cpr-hul

Ekspert om cpr-hul i pladsanvisningen: Kan misbruges til identitetstyveri

I 12 år har den digitale pladsanvisning givet adgang til cpr-numre på borgere i hele landet.

- For én med lidt teknisk snilde, er der en hurtig og nem måde at finde mit cpr-nummer på, siger Søren Debois, forsker ved IT Universitetet i København. (Foto: Pawel Kopczynski © Scanpix)

Dit og mit cpr-nummer kan bruges til identitetstyveri.

Derfor er det et problem, at der har været et it-hul i den digitale pladsanvisning, så det har været muligt for folk, logget ind via nemid, at søge navne og cpr-numre frem på danske borgere.

Hvis man først kender nogens cpr-nummer, er det nemt at svindle sig til forskellige ting

Søren Debois, forsker

Sådan lyder vurderingen fra Søren Debois, forsker ved IT-Universitetet.

- Hvis man først kender nogens cpr-nummer, er det nemt at svindle sig til forskellige ting. Det er nemt at lade som om, man er et andet menneske, hvis man er i besiddelse af deres cpr-nummer, siger han.

En begavet amatør kunne gøre det

Umiddelbart virker det ikke som et stort it-hul, at man har kunnet søge navne frem ved at indtaste forskellige cpr-numre.

Men da informationerne har ligget tilgængelige digitalt, kunne folk med de rette it-kompetencer ret hurtigt få en computer til at trække mange cpr-numre ud af systemet.

- For én med lidt teknisk snilde, var der en hurtig og nem måde at finde mit cpr-nummer på, siger Søren Debois.

Computerprogrammer kan for eksempel sættes op til at gætte de fire sidste cifre i cpr-numre, hvis blot man angiver en fødselsdag. Det tager ifølge forskeren ikke mere end et par minutter og er forholdsvist nemt.

- Det her burde være inden for rækkevidde for den begavede amatør. Der skal ikke speciel viden til. Der skal bare almindelig fingerfærdighed ved en computer og lidt erfaring med at skrive scripts og små programmer, siger forskeren.

Esben Warming Pedersen gjorde Frederiksberg Kommune opmærksom på et cpr-hul i den digitale pladsanvisning, som KMD driver for kommunerne.

Cpr-numre kan sælges videre

Så kan man spørge sig selv, hvorfor skulle nogen have lyst til bare at være i besiddelse af en masse tilfældige cpr-numre?

Her forklarer forskeren, at cpr-numre kan sælges videre til folk, der ønsker at begå svindel.

De første skridt til identitetstyveri kan for eksempel tages med et navn og et cpr-nummer på en anden person, lyder det fra forskeren. Han nævner for eksempel, at man kan oprette en bankkonto med et cpr-nummer.

- Det er ikke sådan, at det danske samfund falder sammen i morgen, fordi cpr-numrene slipper løs, siger Søren Debois.

Men det kan gøre livet surt for den enkelte.

- Det her kunne blive frygtelig upraktisk for nogle mennesker, som bliver ramt af identitetstyveri. Det er ikke særlig rart, og det kan tage lang tid at komme ud af, når folk først har lavet ulykker i ens navn på internettet, tilføjer han.

KMD anmelder borger for hacking

I den nuværende sag har it-firmaet KMD erkendt, at der har været et hul i deres it-system, som over 80 kommuner benytter til digital pladsanvisning.

KMD har lukket hullet, men ved endnu ikke, om det er blevet misbrugt i løbet af de 12 år, hvor det har været der.

Det er en banal fejl. Der er nogen, der har glemt at tænke sig om

Søren Debois., forsker

Samtidig har KMD politianmeldt den it-kyndige mand Esben Warming Pedersen, som opdagede hullet, da han skulle finde en institutionsplads til sin søn.

It-firmaet mener, at manden har hacket sig ind i systemet, mens manden selv forklarer, at han gjorde det for at afdække problemets omfang.

Ifølge forskeren fra IT Universitetet, Søren Debois, er det uheldigt, at det er en offentlig hjemmeside, der ikke har passet ordentligt på folks oplysninger, men fejlen ikke er enestående.

- Det er en banal fejl. Der er nogen, der har glemt at tænke sig om, siger Søren Debois.

- Den fejl kunne være sket alle steder, især når det er et lidt ældre system, tilføjer han.

Tidsforløbet i sagen

  • 17. maj: Esben Warming Pedersen opdager cpr-hullet i den digitale pladsanvisning og melder det til Frederiksberg Kommune, mens familien er på ferie i udlandet. Kommunen giver KMD besked om fejlen. Samme dag melder KMD tilbage til kommunen, at man ikke kan genkende den fejl, der er beskrevet.
  • 18. maj: Esben Warming Pedersen kontakter DR og fortæller om cpr-hullet. KMD fortæller DR, at man ikke har kunnet lokalisere fejlen. Senere samme dag sender Esben Warming Pedersen en video til DR, hvor han demonstrerer problematikken.
  • 24. maj: KMD har fundet og rettet cpr-hullet. Det bliver ikke oplyst til de kommuner, der benytter KMD’s system.
  • 8. juni: Esben Warming Pedersen er tilbage fra ferie og giver interview til DR. Samme dag forelægger DR Esben Warming Pedersens video for Frederiksberg kommune og KMD.
  • 9. juni: På baggrund af videoen politianmelder KMD Esben Warming Pedersen for påstået hacking. KMD tager også kontakt til Esben Warming Pedersens arbejdsgiver, der er et andet IT-konsulentfirma.
  • 13. juni: 20 dage efter at cpr-fejlen er fundet og rettet, giver KMD kommunerne besked om den. I skrivelsen omtaler de Esben Warming Pedersen som hacker.