Danske CPR-numre sat til salg på nettet

OPDATERET: Mareridtsscenariet kan være blevet virkelighed: Anonyme personer tilbyder at sælge udtræk fra CPR-registret. Sikkerhedsekspert kan dog ikke bekræfte historien.

Det, der indtil i dag har været omtalt som mareridtsscenariet i CPR-sammenhæng, kan vise sig at være blevet virkelighed.

Unavngivne personer har i en mail til Version2 linket til en side på nettet, hvor man mod betaling i den digitale valuta Bitcoins angiveligt kan købe sig nærmere angivne informationer fra CPR-registret. Det har ikke været muligt for Version2 at få bekræftet, at bagmændene rent faktisk er i besiddelse af de omtalte data, men vi vælger alligevel at omtale nyheden, da det i givet fald er en yderst alvorlig sag.

Nyheden kommer i kølvandet på torsdagens store nyhed om, at hackere har tiltvunget sig adgang til politiets kørekortregister, hvor informationer om flere millioner CPR-numre også ligger gemt.

For eksempel skulle det være muligt ud fra et fuldt navn at få oplyst det tilhørende CPR-nummer, ligesom den omvendte handling fra CPR-nummer til navn skulle være mulig.

Endnu værre er det dog, at bagmændene tilbyder decideret identitetstyveri i deres katalog over udbudte services

»Hvis du ønsker en særlig service som for eksempel at erhverve en identitet med et bestemt navn og fødselsdato, så giv os besked, og vi finder ud af noget,« skriver bagmændene på hjemmesiden.

Endelig tilbyder folkene bag tjenesten, at man mod betaling kan blive fjernet fra listen.

»Få en person (dig selv for eksempel?) fjernet fra vores katalog. Du leverer den identificerende information, og vi fjerner det pågældende individ fra vores katalog,« lyder endnu et af tilbudene.

Annoncen for det komplette danske CPR-register kan dog meget vel være for god til at være sand, vurderer sikkerhedsekspert:

»Jeg vil tro, at der er 80 procents chance for, at det er fup. Vi ser tit den slags komme i kølvandet på datatyverier, der trækker store overskrifter. De ved, at journalisternes øjne følger med,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.

Det er især timingen, der ifølge Peter Kruse vækker mistanke.

»De må have haft de her data i hænderne i mange måneder, så det virker ulogisk at sætte dem til salg nu,« siger Peter Kruse.

Version2 har forsøgt at kontakte personerne bag for at få verificeret oplysningerne. Dette er dog endnu ikke lykkedes.

OPDATERET 19.34: Personerne bag tjenesten har nu meldt tilbage til Version2. De understreger, at det er en misforståelse, at de har en kopi af hele CPR-registret. Omvendt kan de dog ikke sige noget om, hvor stor en del der så er tale om.

De fortæller videre, at dataene ikke er relateret til den aktuelle sag om hacking af politiets kørekortregister, og at motivet for at lægge siden online nu er, at CPR-systemets fremtid en gang for alle bliver taget op til debat.

For at kunne verificere, at deres påstande holder vand, har Version2 spurgt, om de kunne fremskaffe redaktørens CPR-nummer. Under henvisning til, at der ikke er tale om et komplet udtræk, meddeler bagmændene, at de ikke har det efterspurgte CPR-nummer.