Unsplash

Skat lækkede 1.2 millioner danskeres CPR-numre over fem år

- Via dr.dk -

Google og Adobe var modtagerne af i alt 1.2 millioner CPR-numre der blev lækkert direkte fra skats selvbetjening.

Problemet opstår, fordi skats systemer er designet således, at CPR-nummeret nogle gange indgår som del af URL’en som brugeren af systemet tilgår.

Dermed vil alle eksterne services få hele URL’en ind via HTTP-GET-headerens “Referer:”-felt.

Således lykkedes det skat at lække alle CPR numre for alle brugere af “ret”-funktionen på skat.dk, til Google og Adobe.

Udviklings- og Forenklingsstyrelsen som fandt fejlen, har snakket med leverandøren DXC (tidligere CSC), der lover at alt data var krypteret. Problemet er bare, det selvfølgelig er forkert, da det er irrelevant for datalæk, at selve transporten af dataen er krypteret.

Dermed har Google og Adobe fået alle CPR-numre som klartekst, som minimum i HTTP-GET “referer:”-feltet, men også haft mulighed for selv at hente den i eventuelle trackere de måtte installere på siden.

Hvorfor DXC/skat.dk laver en løsning med CPR-nummeret råt i URL’en melder historien intet om.





Gå til bund
Gravatar #1 - fastwrite_1
7. feb. 2020 23:56
Suk.... Er vi blevet en generation af uvidenhed og ligegyldighed?

Hvem fik den idé at CPR nummer skulle være en del af en URL? Hvordan kunne en sådan ide overhovedet opstå? Og værre endnu, blive implementeret.

Hvad siger GDPR til dette?

Kan CPR snart bruges til noget som helst?
Gravatar #2 - mrKayne
7. feb. 2020 23:57
Det bør da også blive til en bøde.
Gravatar #3 - EmilKampp
8. feb. 2020 07:37
CPR kan bruges som ID, hvilket det også var tiltænkt originalt.

Det har aldrig været tiltænkt som en adgangskontrol.

Ligesom med alle andre IDer så skal det kobles med stærk adgangskontrol (som fx NemID m. pap kort).

Hvis alle opfyldte dette ville der ikke være noget problem med at det blev givet ud.

Problemet er at mange organisationer som banket og kommuner bruger det som både ID og adgangskontrol på én gang.
Gravatar #4 - chris
8. feb. 2020 13:16
Den slags bør udløse en bøde til CSC
Sådan i GPDR-størrelsen

digitalt.
fastwrite_1 (1) skrev:

Hvem fik den idé at CPR nummer skulle være en del af en URL? Hvordan kunne en sådan ide overhovedet opstå? Og værre endnu, blive implementeret.

Havde man hashet det ordentligr, så havde det ikke været et problem at det var en del af URL'en som sådan.
Men altså, det var vel en underbetalt og overarbejdet kode-abe et eller andet sted i CSC der fik at vide at han skulle præsentere en implementering der var "god nok", hvorefter en eller anden mellemleder har sendt det i produktionen uden om QC tænker jeg.

EmilKampp (3) skrev:
CPR kan bruges som ID, hvilket det også var tiltænkt originalt.
Det har aldrig været tiltænkt som en adgangskontrol.
Ligesom med alle andre IDer så skal det kobles med stærk adgangskontrol (som fx NemID m. pap kort).
Hvis alle opfyldte dette ville der ikke være noget problem med at det blev givet ud.
Problemet er at mange organisationer som banket og kommuner bruger det som både ID og adgangskontrol på én gang.


Det spændende er at nu vil man til at gøre NemID til en Rent digitalt service, hvilket betyder at man med adgang til en enkelt enhed pludselig kan stjæle folks identitet, hvor man før i tiden skulle have fysisk adgang til papkortet og være i besiddelse af password og brugernavn.

I en tid hvor mange bruger de samme passwords til alt og næsten ingen ændrer deres Cpr-nummer til et unikt brugernavn på NemID, så virker det decideret lamt at gøre NemID'et rent digitalt.
Gravatar #5 - Snoop
8. feb. 2020 14:44
chris (4) skrev:

...næsten ingen ændrer deres Cpr-nummer til et unikt brugernavn på NemID...


Selvom du ændre dit navn på Nemid, kan du stadig logge ind med dit cpr-nummer. I starten var dit Nemid password heller ikke case sensitive. Ved ikke om de har fået rettet det.
Gravatar #6 - dugfrisk
8. feb. 2020 15:03
der er også den der med når læger ikke tjekker op, når der er kommet resultater tilbage fra hospitalerne. Det kan være en "simpelt" ting som hvilke bakterier der figurere ved en lungebetændelse, eller værre. Er det ikke borgerens ret at få at vide, hvad resultatet har vist, i deres e-boks, hvor de derefter kan rette henvendelse, hos deres læge. Det kunne også være en alarm bjælke der popper hos lægen, når en vigtig meddelelse, SKAL LÆSES!!
Gravatar #7 - arne_v
8. feb. 2020 15:29
chris (4) skrev:

Havde man hashet det ordentligr, så havde det ikke været et problem at det var en del af URL'en som sådan.


Der er en lille risiko for kollision ved hash.

(man kunne naturligvis teste alle legale CPR numre for kollision)

Men enhver kunstig primær-nøgle kunne vel bruges.

Gravatar #8 - CBM
8. feb. 2020 23:01
spændende... det giver altid lidt mere krydderi på tilværelsen at ens CPR nummer bliver lækket og samtidigt kan misbruges fordi der er kommuner og firmaer som fatter hat og minus

men hva, der var jo også et læk fra politiets kørekort register for nogle år tilbage

alt imens kommuner og diverse kviklånsfirmaer fortsat uhindret kan benytte cpr til både id og verifikation

Gravatar #9 - Target
10. feb. 2020 06:56
Snoop (5) skrev:
chris (4) skrev:

...næsten ingen ændrer deres Cpr-nummer til et unikt brugernavn på NemID...


Selvom du ændre dit navn på Nemid, kan du stadig logge ind med dit cpr-nummer. I starten var dit Nemid password heller ikke case sensitive. Ved ikke om de har fået rettet det.

Man kan ikke ændre navn i NemID. Man kan vælge om ens navn skal fremgå af certifikatet eller der blot skal stå Pseudonym. Navnet i NemID certifikatet kommer fra CPR-registeret.
på NemID's selvbetjening kan man vælge, om det skal være muligt at logge ind med CPR-nummer som brugernavn. Jeg har personligt slået det fra, så selvom man har mit CPR-nummer, så kan man ikke logge ind med mit NemID.
Angående adgangskode, så er det by-design ikke case sensitiv. Det bliver det nye MitID formentlig heller ikke.
Gravatar #10 - Ajukrezi
10. feb. 2020 07:15
#8
Yup lige præcis.

det er lækket overalt og uden nogen form for sikkerhed i det men kan bruges til alt for meget
Gravatar #11 - arne_v
10. feb. 2020 18:47
#casesensitive passwords

Password kompleksitet er eksponentiel i længden og polynomial i antal tegn.

Derfor er det generelt bedre med længere passwords end password med flere mulige tegn.

Jeg vil ikke blive overrasket hvis mantraet "password skal være case senstive af sikkerhedshensyn" går samme vej som "password skal skiftes hver N måned af sikkerhedshensyn".

Gravatar #12 - EmilKampp
11. feb. 2020 07:55
Gravatar #13 - arne_v
11. feb. 2020 20:08
#12

Ja.

Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login