Fortsat elendig CPR-sikkerhed

Tre uger efter, at Margrethe Vestager i et samråd (torsdag den 4. april) fortalte, at CPR-kontoret har gennemført en kontrol af virksomheder, der anvender CPR-registeret til validering af kunders identitet, var det stadig muligt at finde sikkerhedshuller, der i princippet gør det muligt at finde alle danskeres CPR-numre.

It-studerende Søren Louv-Jansen demonstrerede over for TV2-nyhederne i fredags, at det med enkle midler forsat er muligt at skaffe sig adgang til CPR-numre på nettet. Han har sammen med en medstuderende udviklet et program, der alene på baggrund af fødselsdato og adresse kan skaffe en persons CPR-nummer via virksomheders valideringssider. Denne gang var det Ikano Bank, der havde problemer med deres valideringsside (Muligheden for CPR-misbrug på den pågældende valideringsside er blevet lukket af banken). Se indslaget i TV2-nyhederne (eksternt link)

Det er ikke første gang, at det det bliver afsløret, at visse virksomheders hjemmesider er åbne for adgang til CPR-registret. Helt tilbage i maj 2012 påpegede de to studerende sammen med DANSK IT tilsvarende problemer på flere teleselskabers hjemmesider.

Oktober 2012 gentog historien sig, og CPR-kontoret fortalte dengang til bladet Computerworld, at de ville udføre en kontrol af de private virksomheder, der benytter CPR-registeret som valideringsværktøj. Den kontrol ser dog ikke ud til at have fået lukket hullet hos banken.

- Da vi for et år siden lavede programmet, var det for at sætte fokus på, at det ikke er særligt svært at få fat i CPR-numre. Men, at det skulle blive så nemt overrasker os meget, siger Søren Louv-Jansen.

Borgerkort

DANSK IT anbefaler, at virksomheder helt holder op med, at bruge CPR-nummeret til validering.

- Det er rent held, at ikke alle danskeres CPR-numre for længst er blevet lækket og kommet i it-kriminelles hænder. De mange sager om CPR-læk viser, at man langt fra kan regne med, at ens CPR-numre er en velbevaret hemmelighed. Derfor må man finde andre metoder til at bekræfte folks identitet. På kort sigt bør man anvende NemID, når man handler på hjemmesiderne. På den lidt længere bane bør man udstyre folk med et borgerkort, der kan indeholde alle de oplysninger, man har brug for, fortæller Klaus Kvorning Hansen, formand for DANSK IT, og fortsætter:

- Efterhånden har der været så mange eksempler på lemfældig omgang med CPR-numre fra kommuner, myndigheders, virksomheders og privatpersoners side, at man som virksomhed eller myndighed skal være mere end naiv, hvis man beder folk om at legitimere sig med deres CPR-nummer, siger han. Læs også "CPR-numre er gammeldags og lette at fuske med" (eksternt link, TV2 online)  

Indførelsen af et borgerkort vil betyde, at banker og virksomheder ikke længere har brug for at få oplyst CPR-numre. I sidste ende er problemet, at it-kriminelle med et CPR-nummer i hånden har et særdeles godt fundament for at opbygge en falsk identitet, som kan bruges til at tage lån, købe ind i andres navn eller få fat i personfølsomme oplysninger. Den slags misbrug vil blive en del sværere med et borgerkort. Blandt andet fordi det vil være muligt at få et nyt, hvis man mister det. Noget som ikke er muligt, hvis man får sit CPR-nummer stjålet.

DANSK IT mener dog også, at det vigtigt at slå fast, at der ikke er noget i vejen med selve CPR-nummer-systemet. Det gør det blandt andet muligt at indkræve korrekte skatter, at samkøre oplysninger og meget mere. Problemet er, at CPR-numre anvendes som legitimation.