Teleselskaber giver adgang til andres CPR-numre

To studerende har fundet et sikkerhedshul hos landets teleselskaber, der betyder at dit CPR-nummer potentielt kan være i fare.

Teleselskaber giver adgang til andres CPR-numre

Et par skarpe software-studerende fra IT-Universitetet i København kan finde frem til en hvilken som helst danskers CPR-nummer på ganske få minutter. Det sker ved at udnytte et sikkershedhul på teleoperatørernes hjemmesider, og kræver blot at de har personens navn og fødselsdato. Det skriver TV2.dk.

Når man skal oprette et abonnement gennem en teleoperatørs hjemmeside, skal man indtaste sit navn og fulde personnummer. Systemet tjekker efterfølgende om de indtastede oplysninger stemmer overens med det centrale personregister, og resultatet bestemmer altså om man kan fortsætte bestillingen eller ej.

Hos teleselskabet Call Me fandt de to studerende dog et sikkerhedshul, der gjorde at de med et egenudviklet computerprogram kunne sende disse forespørgsler til hjemmesiden. Herefter var det blot et spørgsmål om at sende forespørgsler med forskellige kombinationer af CPR-nummerets fire sidste cifre, og vente på svar om handlen gik videre. I gennemsnit tager det omkring 40 forsøg, fortalte de to studerende i en udtalelse til TV 2 Nyhederne.

LÆS ARTIKEL: e-mærket misbruges – se her hvordan du undgår at blive snydt

"Vi vil vise, at CPR-systemet ikke virker længere. Det er ikke et hemmeligt nummer, som kun du kender. Betragt det som et offentligt nummer, som alle egentlig kan få fat på", fortsætter de.

Også andre operatører

Det var som sagt Call Me’s hjemmeside der blev brugt til at udnytte sikkerhedshullet, og Call Me oplyser at hullet efterfølgende er blevet lukket. Problemet gør sig dog stadig gældende hos en række andre operatører, som potentielt stadig kan udsættes for lignende udnyttelse af CPR-systemet. Der findes i dag ingen lovkrav om at teleoperatørerne skal bruge NemID i stedet for CPR-numre, men det kunne være en løsning på problemet.

Du kan se videoklippet fra TV 2 Nyhederne på dette link.