Myndigheder og virksomheder beskytter vores CPR-numre. Forkert. Hackere kan på få minutter finde alle danskeres CPR-numre. Korrekt. En dansk hacker fortæller nu til bt.dk, hvor dårligt beskyttet vores mest personlige oplysninger reelt er.
73.000 danskere blev i 2012 udsat for identitetstyveri. En stigning på over 50 pct. siden 2008. Den udvikler viser med al tydelighed, hvor dårlig beskyttet vores personlige oplysninger er, mener hackeren.
For at understrege den pointe har han samtidig i løbet af et par timer lavet er program, der kan finde frem til hvilket som helst CPR-nummer:
- Jeg har lavet programmet for at vise, at mange virksomheder ikke tager deres sikkerhedsansvar alvorligt. Jeg har kun brugt et par timer på at lave programmet, men hvis jeg lidt mere tid på at optimere det, ville jeg i teorien kunne lave en komplet kopi af det danske CPR-register på to måneder, siger hackeren M, der ønsker at være anonym.
Programmet, der i øjeblikket er frit tilgængeligt på nettet, udnytter en fejl i teleselskabernes sikkerhedssystem. Det eneste, hackerne skal gøre, er at indtaste dit navn og fødselsdato. Så finder programmet i løbet af få minutter frem til de fire sidste cifre i dit CPR-nummer.
Navn og fødselsdato finder hackerne ved at slå op på din facebook-profil. Men selvom du skynder dig at fjerne de oplysninger, kan du ikke vide dig sikker:
- Hvis man ved hvor man skal gå hen, er det meget nemt at anskaffe sig en liste på eksempelvis 20.000 personer med fuldt navn og fødselsdato. Oplysningerne bliver blandet andet samlet ind fra onlinekampagner, konkurrencer og spørgeskemaer og videresælges så. Jeg kender blandt andet til et netværk, der har gjort det til deres forretningsgrundlag, siger M.
Ikke første eksempel
Det nye program er kun ét i rækken af eksempler på manglende sikkerhed hos de virksomheder, der burde beskytte vores CPR-numre. For to uger siden fortalte politiet, at hackere var brudt ind i deres systemer og havde stjålet millioner af danskeres CPR-numre. Samtidig pegede to fremtrædende cyberchefer fra Europol og Forsvarets Efterretningstjeneste i fredags på, at it-sikkerheden hos myndigheder og virksomheder, der behandler danskernes personlige oplysninger, er mangelfuld. Den pointe er Henrik Lund Kramshøj, sikkerhedskonsulent hos IT-virksomheden Solido, enig i:
- Nettet blev ekstremt populært i 90erne, men sikkerheden fulgte ikke med. Mange glemmer, at de også kan blive angrebet af hackere, siger han og fortsætter:
- Det er en illusion at tro, at vores CPR-nummer er personligt. Der er så mange mennesker, der har adgang til det. Folk i den offentlige administration. Politiet. Der er flere end 120 teleselskaber herhjemme - og de har også alle adgang til CPR-registret. Hackerne skal bare finde et lille smuthul i et af deres systemer, og det kan de gøre i løbet af få timer.
Laver pas i offerets navn
Får hackerne fingre i dit CPR-nummer, kan det blive en dyr fornøjelse. Det ved radioværten Phillip Lundsgaard alt om. I december blev hans kørekort stjålet fra Borgerservice i Hørsholm. Efterfølgende begyndte det at vælte ind med regninger for ting, som tyven havde købt i Phillip Lundsgaards navn. Ifølge Hackeren M kan det ende endnu værre:
- Jeg har hørt om hackere, der ved at have offerets CPR-nummer har været i stand til at overtage hele deres identitet. Ud fra CPR-nummeret fik de lavet et sygesikringsbevis. Det kan du bruge til at få lavet et kørekort, som du kan lave et pas ud fra. Har du de dokumenter, kan du gøre hvad du vil på et andet menneskes bekostning. Låne penge, købe ting på afbetaling - alt.
Løsningen på identitetstyveri er ifølge Henrik Lund Kramshøj derfor, at vi ændrer vores brug af CPR-numre:
- CPR-numret bør ikke bruges til at logge på systemer, som man f.eks. kender det fra NemId. Dertil er det alt for let at misbruge. Nummeret bør kun bruges som et unikt journalnummer, som myndigheder kan bruge til at finde informationer om dig. Intet andet.
