Stor brist: Så nemt er det at få fat i dit CPR-nummer
Hvis du går rundt og tror, at dit CPR-nummer er personligt, privat eller hemmeligt, så kan du godt tro om igen.
For med ganske simple midler og på under fem minutter, er det nemlig muligt at finde frem til et hvilket som helst CPR-nummer i Danmark - informationer som herefter kan misbruges på et hav af måder.
Det kan tv2.dk i dag afsløre.
- Det er fuldstændig lige til. Man kan finde alle CPR-numre, hvis blot man er i besiddelse af folks navn og fødselsdato. Og det kan de fleste finde frem til på ingen tid, forklarer it-studerende Søren Louv-Jansen til tv2.dk.
For at påvise svaghederne i sikkerheden omkring CPR-registret, har han udviklet et simpelt program, der udnytter, at en lang række internetvirksomheder beder om CPR-numre for at verificere kundernes identitet, når de handler på nettet.
Efter at kunden har indtastet sine oplysninger kontakter internetbutikken CPR-registret, der på kort tid kan af- eller bekræfte de pågældende oplysninger.
Denne metode kan enhver uden videre bruge til at gætte løs, indtil man på et tidspunkt uundgåeligt vil ramme plet. Og det er netop det, som Søren Louv-Jansens program gør - i dette eksempel ved hjælp af onlinebanken Ikano Banks hjemmeside.
- Enhver kan gøre det samme, som mit program kan, hvis de bare sætter sig ned med en blok papir og starter med at indtaste forskellige kombinationer af CPR-numre. Og det tager ikke lang tid, for det er jo kun fire cifre, forklarer Søren Louv-Jansen.
Ingen hindringer
På mange hjemmesider har man indført begrænsninger på, hvor mange gange man som kunde kan indtaste forskellige CPR-numre, så man kun kan prøve tre eller fem gange - et forsøg på at begrænse mulighederne for misbrug.
Men det har man altså ikke gjort hos Ikano Bank. Men selv hvis det var tilfældet, ville det ikke gøre nogen forskel, forklarer Søren Louv-Jansen.
- Nej, for det første der vil altid være sider med huller. Og for det andet kan man jo bare vende tilbage til de forskellige sider en times tid efter og forsøge igen. Eller benytte flere sider samtidig. Det er kun et spørgsmål om, hvor lang tid det tager, forklarer han.
Sindssygt alvorligt
Hos Forbrugerrådet er man chokeret over adgangen til danskernes CPR-oplysninger.
- Det er meget alvorligt det her. CPR-numrene giver et hav af muligheder for it-kriminelle, og hvis de havner i de forkerte hænder, kan det resultere i særdeles alvorlige konsekvenser, forklarer jurist Anette Høyrup fra Forbrugerrådet og fortsætter:
- Eksempler viser, at folk der udsættes for identitetstyveri bliver dybt krænket og har stort besvær med at få bremset de mange regninger, der pludselig vælter ind. Og derfor er det simpelthen ikke godt nok, at mere eller mindre enhver person kan skaffe andre personers CPR-numre, siger hun og opfordrer til, at loven bliver strammet.
Ikke første gang
Det er langt fra første gang, at hullerne i CPR-registret bliver udstillet.
For under et år siden i maj måned 2012 afslørede TV 2 Nyhederne på lignende vis, hvor nemt det var at finde frem til folks personnumre på nettet.
Efterfølgende blev virksomhedernes ansvar for at forvalte sikkerheden indskærpet af økonomi- og erhvervsminister Margrethe Vestager (RV), men det har tydeligvis ikke været nok, som tv2.dk i dag kan dokumentere.
Og så sent som i begyndelsen af april bedyrede Margrethe Vestager i et åbent samråd i Folketinget, at det lovmæssige grundlag for at sikre borgernes sikkerhed i forhold til CPR-registreret er tilstrækkeligt.
Beklageligt
Hos IkanoBank er man kede af sikkerhedsbristen.
- Jeg kan bekræfte, at der har været det omtalte problem med indtastning af CPR-numre på vores side, og det er selvfølgelig beklageligt, forklarer administrerende direktør Jesper F. Schmidt til tv2.dk og fortsætter:
- Men vi har nu lukket hullet, efter at vi er blevet gjort opmærksom på det.
Læs mere om sagen i løbet af dagen på tv2.dk og se med, når TV 2 Nyhederne beskæftiger sig med sagen klokken 19.