CPR-kontoret understreger efter onsdagens gigantiske læk af cpr-numre via Robinsonlisten, at denne liste i løbet af de 50 minutter, den var online, kun er downloadet af 18 firmaer, som er blandt de 600, som har fået særlig adgang til en ’lukket del’ af CPR-kontorets webside. Det fremgår for eksempel af denne pressemeddelelse.
Men beskyttelsen, som skal forhindre alle andre i at kunne downloade listen, er meget spinkel, kan Version2 nu afsløre.
Det kræver et brugernavn og et password at få lov at downloade den 184 megabyte store tekstfil. Men i branchen – og i nogle it-miljøer – er dette password en meget offentlig hemmelighed, fortæller en Version2-læser, som ønsker at være anonym.
Allerede for mindst fem år siden blev det meget simple og indlysende brugernavn og password spredt via en video, fortæller han, og siden er hverken brugernavn eller password ændret.
Læs også: Enhedslisten om kæmpe cpr-læk: ‘Samtlige 900.000 er nu i risiko for at få deres identitet misbrugt’
Alle virksomheder, som har adgang til listen, bruger samme brugernavn og password, og det bliver sendt ud pr. e-mail til disse virksomheder i klartekst, viser en e-mail, som Version2 har fået tilsendt.
Har man bare én gang før brugt disse login-oplysninger, er de meget nemme at huske og bruge igen senere. Og det giver ikke nogen kontrol over, hvem der får adgang, når alle skal bruge samme password.
»De kunne åbenbart ikke overskue at lave individuelle logins for brugerne af denne liste,« konstaterer Version2-læseren, som har kendt til den dårlige beskyttelse i over fem år.
Fem år er ‘meget lang tid’
Den slags beskyttelse er ikke imponerende, lyder det fra sikkerhedsekspert Ulf Munkedal, da Version2 fortæller ham om CPR-kontorets sikkerhedspraksis.
»Det er ikke høj sikkerhed. Det er ikke det samme, som at det har ligget offentligt tilgængeligt, men det er i hvert fald ikke høj sikkerhed,« siger Ulf Munkedal, der er direktør for sikkerhedsfirmaet Fort Consult.
Almindelig sikkerhedspraksis er at skifte password med jævne mellemrum, og at hver bruger har sin egen konto, som så nemt kan lukkes.
»Normalt vil man skulle skifte password med en vis hyppighed, og hver person ville også have sit eget brugernavn og password. Fem år er meget lang tid,« siger Ulf Munkedal til Version2.
Listen rummer normalt navne og adresser på alle 900.000 danskere, som selv har tilmeldt sig robinson-ordningen for at undgå reklamehenvendelser. Ved en fejl blev disse informationer altså onsdag udvidet med cpr-numre på alle 900.000 personer.
Version2 har forsøgt at få en kommentar fra CPR-kontoret – foreløbigt dog uden held.
Leave a Reply