Tema Cpr-hul

It-hul i pladsanvisningen har givet adgang til cpr-numre og navne i 12 år

It-firmaet KMD beklager fejlen i systemet, som de leverer til over 80 kommuner.

- Systemet er 12 år gammelt, og så vidt vi ved, har det været der, siden systemet blev lavet, siger Mette Louise Kaagaard, KMD. (Foto: Simon Læssøe © Scanpix)

I 12 år har der været et hul i Digital Pladsanvisning, så borgeres navne og cpr-numre har ligget tilgængelige for folk, der er logget ind i systemet med deres nemid-kort.

Det bekræfter it-firmaet KMD, der sælger og driver systemet Digital Pladsanvisning til over 80 kommuner.

- Det er korrekt, at vi desværre har haft et sikkerhedshul i vores system, hvor man har kunnet skrive et cpr-nummer ind og få et tilhørende navn ud, siger Mette Louise Kaagaard, direktør i KMD.

Fejlen er blevet opdaget på baggrund af en it-kyndig borger, der har henvendt sig til Frederiksberg Kommune, hvor han selv skulle skrive sin søn op.

- Det er vigtig at sige, at der ikke er tale om personfølsomme data, og der har ikke været, så vidt vi ved, misbrug af de her informationer. Det er heller ikke informationer, der har ligget frit tilgængeligt på nettet, siger Mette Louise Kaagaard.

Kunne finde statsministerens cpr-nummer

KMD beklager fejlen, som formentlig har givet adgang til navne og cpr-numre i 12 år.

- Systemet er 12 år gammelt, og så vidt vi ved, har det været der, siden systemet blev lavet, siger Mette Louise Kaagaard.

  • Sådan har fejlen vist sig:
  • Borgeren logger ind på Digital Pladsanvisning
  • Hvis hun sætter hak under samlever-feltet, er en cpr-søgemaskine dukket op.
  • Her har borgeren kunnet indtaste tilfældige cpr-numre, og så har systemet vist navnet på den, cpr-nummeret tilhører.
  • Det vil sige, at systemet ikke har begrænset søgningen til kun at vise navne på den person, der er registreret på borgerens adresse.

KMD er netop nu ved at undersøge, om der har været situationer, hvor it-kriminelle har udnyttet hullet til at trække danskernes cpr-numre ud.

For hullet har betydet, at folk med it-kompetencer har kunnet sætte en lille kode ind i feltet og i princippet trække navngivne cpr-numre ud på hele Danmarks befolkning - som for eksempel statsministerens.

- Vi mener ikke, at der er noget forkert i den måde, vi har lavet det på. Der har selvfølgelig været en fejl. Det skulle ikke have været muligt at slå et givet navn på et givet cpr-nummer op. Der burde have været en begrænsning på, men vi mener ikke, der er noget galt i den måde, vi i øvrigt har lavet det på, siger KMD-direktøren.

KMD har rettet fejlen og orienteret om fejlen til de over 80 kommuner, som har købt adgang til Digital Pladsanvisning.

I løbet af de kommende år vil KMD udvikle et nyt system til pladsanvisningen.