IT

Stort, dansk IT-firma lækker CPR-numre

Et stort, dansk IT-firma, der ligger inde med flere hundrede tusinde navne og CPR-numre på danskere sjusker med sikkerheden på deres hjemmeside. Af hensyn til firmaet og de personer, hvis navne og CPR-numre er lækket, er det ikke her, du får virksomhedens navn at vide – så er det sagt.

På IT-firmaets hjemmeside har de en PDF-manual, der udførligt beskriver deres ellers udmærkede system. Her viser de detaljeret med screenshots, hvordan administratorer bruger det. De er ikke helt tossede, og derfor har de dækket følsomme oplysninger på screenshotet med en grå boks. Problemet er bare, at billedet under boksen loader hurtigere end boksen og derfor er det muligt at få et kort glimt af oplysningerne og tage et screenshot af dem. Der gik ikke længe, før jeg havde fundet frem til Facebook-, Live- og andre profiler på personerne og derfor ved jeg, at der ikke bare var tale om testpersoner.

Det skal siges, at der kun er tale om et par håndfulde personers oplysninger, der kan ses og det er tilsyneladende ikke et stort problem. Men det synes jeg, det er! Der kan ske smuttere, men et system der anvendes af så mange brugere bør have bedre styr på sikkerheden! Systemet er hovedsageligt målrettet det offentlige og det offentlige bør være meget mere opmærksomme på, hvilke firmaer der får så følsomme oplysninger i hænderne.

Det mest pinlige ved denne sag er, at det er et firma, der brander sig på at have høj datasikkerhed, og man må forvente, at et IT-firma (med det offentlige som storkunde) har styr på, hvordan man laver en ordentlig PDF-fil uden at afsløre følsomme oplysninger på personer, som sikkert ikke engang ved, at firmaet ligger inde med dem. I en anden manual har firmaet dog gjort det korrekt – taget et screenshot og ændret direkte i billedet. Det andet er bare amatøragtigt, pinligt og faktisk også imod dansk lovgivning.

Pas på hvem du giver dine oplysninger til – måske har de selv rent mel i posen, men deres underleverandører har måske ikke orden på sagerne.

You may also like
Om igen, Boxer
18 Comments
  • Claus D Jensen aug 5,2009 at 20:47

    Hej Martin!

    Skræmmende!!

    Du burde tage et sådan screenshot og sende til firmaet og/eller pressen!!

    Mvh
    Claus 😀

    • martinhegelund aug 5,2009 at 20:50

      Hej Claus

      Ved endnu ikke om jeg går til pressen, men firmaet får helt sikkert en e-mail!

  • Dorte Toft aug 5,2009 at 22:28

    Jeg tillod mig at nævne det på min blog.

  • Frank Hellerup Madsen aug 5,2009 at 22:30

    Det er bare ikke godt nok, det der. Og afgjort ikke i overensstemmelse med lovene for håndtering af cpr-numre. Jeg håber, at de straks tager kritikken til sig og ændrer på manualen.
    Ellers stikker du bare Dorte manual og firmanavn!

  • Erik Ernst aug 5,2009 at 23:10

    Ih hvor jeg dog glæder mig til edag3!

  • Kim aug 6,2009 at 08:55

    Har ligeledes fundet hul i system, hvor CPR, sygdomshistorik og andet kunne ses, se evt. mit tweet omkring det (der skulle i øvrigt stå “semi-offentlig”)

    Skræmmende at data til tider håndteres SÅ letsindigt.

  • Jan Skinnerup aug 6,2009 at 18:53

    Det er rystende hvordan man overhovedet kan få den ide, at lave den slags “live” screenshots i stedet for en død jpg.

  • Frank Hellerup Madsen aug 7,2009 at 22:49

    Hej Martin,
    Har du fået noget respons fra firmaet, eller er de på vej på forsiden?

  • anders aug 10,2009 at 21:57

    Der er ikke noget hemmeligt i CPR oplysninger. En hver virksomhed kan købe dem på http://www.cpr.dk

  • Anders aug 10,2009 at 21:59

    Prøv evt. at gennemfør et køb på CDON.dk, og du vil se at du har kan udtrække alle CPR oplysninger og adresser på alle dansker.

  • Leif aug 15,2009 at 22:03

    Jeg har oplevet, at et større dansk webhotel og domænehåndteringspartner slet ikke har styr på, hvilke mailkonti man har adgang til, når man tilgår sin IMAP mail konti.

    Jeg har via min iPhone pludselig (uden at jeg ellers har “hacket” noget, for det har jeg ingen forstand på) fået adgang til andre virksomheders kalendere m.m. via IMAPS.

    Jeg har endda i to omgange ringe til firmaet og sagt til dem, at det kan da bare ikke passe at jeg uden videre får adgang til deres undermapper, når jeg bare indtaster loginoplysninger til min egen mailadresse. Ikke desto mindre har jeg ingen reaktion eller opfølgning fået og jeg har det nok på den måde, at jeg i løbet af kort tid flytter min mailkonto og domæne – gider ikke være hos en dansk hostingpartner, der ikke gider tage kundehenvendelser om sikkerhed alvorligt 🙁

  • Klaus Agnoletti aug 24,2009 at 14:03

    Hejsa,

    Du har selvfølgeligt ret i at det er grimt at gøre, og det er også fint at du skriver en nyhed om det. Jeg kan bare ikke lige være med at syntes det er lidt ukonkret og FUD-agtigt. Du skriver ikke hvem det er, eller giver et mere sigende screenshot.

    Så indtil der er mere facts er det nogenlunde lige så pålideligt som eb.dk – der er ihvertfald lige så mange facts.

    No offence.

    /k

  • Strategen aug 31,2009 at 20:43

    Det lyder godt nok amatøragtigt 🙁

  • Jesper dec 8,2009 at 14:31

    Det er godtnok skræmmende

  • Søren Sprogø dec 9,2009 at 22:05

    Hmmm, som udgangspunkt lyder det ulovligt.

    Prøv evt. at kontakte datatilsynet med din dokumentation, det er den instans, der håndterer den slags.

    Se evt. http://www.datatilsynet.dk/erhverv/personnummer-cpr-nummer/

  • Gustav dec 28,2009 at 20:05

    Hej Martin

    Det er bare ikke godt nok at et dansk firma lækker CPR numre, men nok om det, håber du giver dem en lærerstreg 🙂

    Da jeg kan se du er webmaster for adskellige hjemmesider, vill det være dejligt hvis du gad og besøge min nye hjemmeside for webmastere hvor du kan debattere og sakke med andre webmastere.

    Siden hedder webmasterdebat.dk og jeg håber du vil oprette en bruger samt en debat eller to

  • [navn fjernet] jan 12,2010 at 20:14

    Ja, det er vildt nok, men skal passe ordenligt på CPR oplysningerne

    [Admin: Kommentaren linkede til en side med ulovlige produkter]

Leave Your Comment

Your Comment*

Your Name*
Your Webpage