Trods lukning af sikkerhedshul er det stadig muligt at gætte sig til folks CPR-numre på hjemmesiden for den digitale tinglysning alene ved at kende en persons navn og fødselsdato. Sidstnævnte kan bruges til at generere en begrænset liste over mulige CPR-numre, som der så kan gættes ud fra.
Hjemmesiden har den senere tid været brugt til at blotlægge flere ministres CPR-numre. Og det lader altså stadig til at være muligt.
Normalt ville Version2 ikke omtale et øjensynligt sikkerhedshul, mens det stadig står åbent. Men når vi alligevel gør det, skyldes det, at det ifølge retspræsident i Tinglysningsretten Søren Sørup Hansen faktisk ikke er et sikkerhedshul. Men hjemmesiden giver altså mulighed for at gætte sig til folks CPR-numre.
»Ja, og det vil du kunne gøre med alle andre systemer også, der er bygget op på samme måde,« siger Søren Sørup Hansen.
Så det er ikke noget, der bliver fikset her og nu?
»Nej, det er den måde, systemet fungerer på. Og det fremgår decideret af loven, at man skal kunne søge oplysninger ved hjælp af personnummer og navn.«
Hjemmesiden for den digitale tinglysning kom for nylig i mediernes søgelys, da det kom frem, at den selvbestaltede frihedsaktivist og tidligere politimand Lars Kragh Andersen kunne afsløre statsminister Helle Thorning-Schmidts og forsvarsminister Nicolai Wammens CPR-numre som følge af opslag på hjemmesiden.
Kort efter, at det kom frem, at statsministerens CPR-nummer var blevet blotlagt, lukkede tinglysning.dk ned, og efterfølgende lød meldingen fra retspræsident Søren Sørup Hansen over for DR, at nu var hullet lukket. Men det er altså stadig muligt at finde frem til en persons CPR-nummer via hjemmesiden for den digitale tinglysning.
»Det er den officielle måde at gå ind i systemet på. Det er den måde, loven foreskriver, og der kan man selvfølgelig, hvis man er ihærdig nok og prøver med tilstrækkeligt mange kombinationer, på et eller andet tidspunkt være heldig. Sådan har det altid været. Det er der ikke rigtigt noget at gøre ved,« siger retspræsidenten og fortsætter:
»Det hul, vi lukkede i går, var en mulighed, man havde, hvis man bare tastede et validt CPR-nummer ind, så fik man returneret adressen og kunne dermed tilegne sig den pågældendes identitet. Og det må man ikke kunne. Det er et problem. Men det andet her, der indtaster du et rigtigt CPR-nummer og et rigtigt navn, og så kan du komme videre i systemet, det er den helt almindelige og gængse måde, man benytter sig af.«
Ifølge Søren Sørup Hansen drejer hullet, der blev lukket på hjemmesiden i går eftermiddags, mandag, sig således ikke om, at det er muligt at gætte sig frem til en persons CPR-nummer, men at systemet alene på baggrund af et indtastet CPR-nummer returnerede navn og adresse tilhørende nummeret.
Så det her med, at man kan validere CPR-nummeret, det skal man kunne, og du siger, det er fair nok, man kan gøre det samme med et navn?
»Det er den grad af sikkerhed, man kan lægge på det,« siger Søren Sørup Hansen.
Så hvis jeg kender statsministeren eller din fødselsdag, så kan jeg fremskaffe en liste, og så kan jeg afprøve dem systematisk?
»Det er jo et af de grundlæggende problemer ved CPR-systemet. Og derfor er problemet jo i virkeligheden ikke så meget, at du kan få et CPR-nummer, men mere det, at du kan bruge det. Vi har jo for eksempel lavet vores system, så du ikke kan bruge et CPR-nummer alene. Du skal koble det med digital signatur, hvis du skal disponere over fast ejendom. Og det er den vej rundt, man må løse det.«
Bare så jeg forstår dig helt korrekt: Du ser, som det er nu, ikke noget sikkerhedsmæssigt problem i det, og hvis der er et sikkerhedsmæssigt problem, ligger det ikke hos domstolsstyrelsens systemer, men generelt i den måde, CPR-numre bliver anvendt på i samfundet?
»Ja.«
Leave a Reply