Hacker stealing social security number

Hackere udnytter CPR-numres dårlige sikkerhed

Flere danske politikere har fået afsløret deres personnumre. Egentlig burde forseelsen være harmløs, men fordi CPR-nummeret i dag i stor stil anvendes som elektronisk identifikation, kan misbrug af oplysningerne koste ofrene dyrt.

20. juni 2014 af Carsten Nymann

Den 16. juni offentliggjorde en aktivist statsminister Helle Thorning-Schmidts CPR-nummer, nogle dage før gik det ud over forsvarsministeren, og endnu før var det 22 folketingsmedlemmer, som fik deres personnumre offentliggjort.

I udgangspunktet burde ministrene og andre, som får stjålet deres personnummer, ikke have grund til den store bekymring. CPR-nummeret blev indført i 1968 som et simpelt identifikationsnummer til alle, der står i Det Centrale Personregister.

Med CPR-nummeret blev det enklere at holde styr på alle landets Jens Jensen'er og Hans Hansen'er, så deres telefonregninger og kontoudskifter ikke blev forvekslet i posten.

I dag spiller CPR-nummeret imidlertid en noget større rolle end det oprindelig var tiltænkt. Fx banker, virksomheder, butikker og apoteker anvender i stor stil personnummeret som en slags digital underskrift. Og derfor kan konsekvenserne blive alvorlige, hvis en kriminel får fingre i oplysningerne.

Hackere opretter kviklån og kreditkort

En rapfodet svindler kan fx foretage indkøb i netbutikker ved at betale via faktura. Regningen sendes til CPR-nummerets retmæssige indehaver, mens forbryderen modtager varerne i en postboks.

Konsekvenserne kan dog blive endnu større. Ifølge eksperter kan CPR-svindlerne også ansøge om højrente-kviklån, sælge fikitive varer på eBay, købe mobiltelefoner, oprette kredit- kunde- og hævekort, hente receptpligtig medicin og få adgang til personfølsomme dokumenter som testamenter.

Og som it-revisionsfirmaet Revi-it bemærker i en vejledning om CPR-sikkerhed: Hvis forbryderen oven i købet har omadresseret offerets post, kan han forhindre, at bankens advarselsskrivelser nogen sinde når frem til modtageren.

CPR-nummeret er sikkerhedsmæssigt svagt

Problemet er, at CPR-nummeret slet ikke er gearet til at beskytte oplysninger som disse. Det klassiske CPR-nummer, som de fleste mennesker, der er født indtil 2007, er udstyret med, består af 10 cifre.

De første seks cifre angiver personens fødselsdato og er altså almindeligt tilgængelige oplysninger. Ciffer 7 stykkes sammen af hvilket år og århundrede, personen er født i og er altså også til at regne ud.. 8. og 9. ciffer er løbenumre – i princippet tilfældige tal.

Det 10. og sidste ciffer angiver, hvilket køn personen har (lige numre indikerer piger, ulige er drenge) og er desuden et kontrolciffer, som bruges, når personnummeret skal verificeres. Denne sidste del er ændret per oktober 2007, men der går i sagens natur nogle år, før effekten af ændringen slår igennem.

Computere kan knække koden lynhurtigt

Fratrukket de offentligt tilgængelig oplysninger er der i gennemsnit omkring 300 kombinationsmuligheder tilbage i en persons CPR-nummer. En moderne computer vil lynhurtigt kunne arbejde sig gennem alle muligheder og få adgang til fx at oprette et abonnement hos et teleselskab.

Computerne bliver simpelthen bare ved med at afprøve alle kombinationer, indtil én af dem giver pote. Opsættes værn som fx ”tre forsøg”-begrænsning kan processen blot løbe over dage og uger, indtil forehavendet lykkes.

Ikke blot kan svindleren nu købe sig en ny mobil på din regning – han har også fået bekræftet, at CPR-nummeret virker.

Læs også

Måske er du interesseret i ...

FÅ ILLUSTRERET VIDENSKABS NYHEDSBREV

Du får dit gratis særtillæg, Vores Ekstreme Hjerne, til download, straks du har tilmeldt dig nyhedsbrevet.

Fandt du ikke det, du ledte efter? Søg her: