mboost-dp1
Endnu et eksempel på meget dårlig sikkerhed
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Det er jo efterhånden en hverdags begivenhed at der lækkes CPR numre...
Alligevel insisterer vores KÆRE politikere på at du både kan IDENTIFICERE og VERIFICERE din identitet UDELUKKENDE med dit CPR nummer...
Men sålænge det primært er almindelige skatteydere og "de der andre mennesker" det går ud over, så er det jo TOTALT ligegyldigt :-)
Alligevel insisterer vores KÆRE politikere på at du både kan IDENTIFICERE og VERIFICERE din identitet UDELUKKENDE med dit CPR nummer...
Men sålænge det primært er almindelige skatteydere og "de der andre mennesker" det går ud over, så er det jo TOTALT ligegyldigt :-)
CBM (2) skrev:Men sålænge det primært er almindelige skatteydere og "de der andre mennesker" det går ud over, så er det jo TOTALT ligegyldigt :-)
Der var i hvert fald ramaskrig fra politikerne, da en aktivist lavede en hjemmeside hvor man kunne gætte politikernes CPR-numre...
#3
True, men CPR skandalerne ruller jo fortsat.
Måske hvis et stort antal politikere pludselig fik deres CPR numre misbrugt til at optage kæmpe lån ved LEASY ?
Som borger er jeg rystet over hvor ligeglad politikere er med at beskytte private borgeres økonomi og privatliv.
Situationen hvad angår beskyttelse af privatlivets fred og sikring af borgernes privat økonomi har været MEGET KRITISK, MEGET LÆNGE.
SÅ FÅ DET DA GJORT ULOVLIGT at VERIFICERE en borgers IDENTITET med CPR ØJEBLIKKELIGT!!!... Benyt NEMID til VERIFICERING I STEDET...
True, men CPR skandalerne ruller jo fortsat.
Måske hvis et stort antal politikere pludselig fik deres CPR numre misbrugt til at optage kæmpe lån ved LEASY ?
Som borger er jeg rystet over hvor ligeglad politikere er med at beskytte private borgeres økonomi og privatliv.
Situationen hvad angår beskyttelse af privatlivets fred og sikring af borgernes privat økonomi har været MEGET KRITISK, MEGET LÆNGE.
SÅ FÅ DET DA GJORT ULOVLIGT at VERIFICERE en borgers IDENTITET med CPR ØJEBLIKKELIGT!!!... Benyt NEMID til VERIFICERING I STEDET...
CBM (4) skrev:Måske hvis et stort antal politikere pludselig fik deres CPR numre misbrugt til at optage kæmpe lån ved LEASY ?
Det kan ikke lade sig gøre.
Hvad gør brugen af CPR til et problem? Snakken har floreret her inde en del gange, men der mangler konkrete eksempler, synes jeg..
#7
:-)
Problemet er vel at dit CPR nummer kendes af mange og regelmæssigt lækkes fra diverse IT systemer ?
samt
at hvis en person fik fat i CPR nummer så kunne de optage lån i dit navn eller måske overtage din identitet?
Eller har myndighederne, kredit selskaberne og butikkerne endelige fattet at et CPR nummer ikke er hemmeligt?
:-)
Problemet er vel at dit CPR nummer kendes af mange og regelmæssigt lækkes fra diverse IT systemer ?
samt
at hvis en person fik fat i CPR nummer så kunne de optage lån i dit navn eller måske overtage din identitet?
Eller har myndighederne, kredit selskaberne og butikkerne endelige fattet at et CPR nummer ikke er hemmeligt?
Det var en problematik, da telefon selskaber lod folk oprette abonnement ved brug af CPR. Det kan man ikke mere.
Det er et konkret eksempel på en problematik omkring brugen af CPR.
Har du et konkret eksempel på hvordan CPR kan bruges til at optage et lån? eller bruges til identitets tyveri?
Jeg har.. Københavns kommune tillod engang at flytte adresse ved hjælp af kun cpr, hvilket gjorde at man kunne overtage en persons post. Det kan man ikke mere.
så vi er tilbage ved
Det er et konkret eksempel på en problematik omkring brugen af CPR.
Har du et konkret eksempel på hvordan CPR kan bruges til at optage et lån? eller bruges til identitets tyveri?
Jeg har.. Københavns kommune tillod engang at flytte adresse ved hjælp af kun cpr, hvilket gjorde at man kunne overtage en persons post. Det kan man ikke mere.
så vi er tilbage ved
Hængerøven (7) skrev:men der mangler konkrete eksempler, synes jeg
CBM (4) skrev:SÅ FÅ DET DA GJORT ULOVLIGT at VERIFICERE en borgers IDENTITET med CPR ØJEBLIKKELIGT!!!
Jeg er helt enig i at CPR-nummer ikke bør (ikke kan) bruges til identificering.
Men jeg tror at det vil være tilstrækkeligt og principielt mere passende at gøre det klart at virksomheder der accepterer CPR-nummer som identifikation ingen muligheder har for at håndhæve deres krav (RKI, fogedret, generelle domstole etc. bare afvise krav baseret på CPR-nummer identifikation). Så vil problemet hurtigt løse sig selv.
CBM (8) skrev:at hvis en person fik fat i CPR nummer så kunne de optage lån i dit navn eller måske overtage din identitet?
Det er den generelle opfattelse.
Men det er vist 99% myte og 1% realitet. Det er set når nogen har implementeret et dårligt system. Men de flest kræver mere dokumentation. Og dem der ikke gjorde bliver hurtigt klogere.
https://cpr.dk/service/nyheder/2014/aug/krav-om-ne...
Lidt læsning til dem der stadig mener, vi intet lærte af IT mandens "cpr lotteri"
Lidt læsning til dem der stadig mener, vi intet lærte af IT mandens "cpr lotteri"
arne_v (11) skrev:Jeg er helt enig i at CPR-nummer ikke bør (ikke kan) bruges til identificering.
Åh jo, CPR-nummeret er jo genialt til lige præcis identifikation. Jens Hansen har kun ét CPR-nummer selvom han har mange navnebrødre. Problemet har været, at CPR-nummeret blev anset for at være hemmeligt. Det var kun bæreren, som kendte til det, så mange brugte det som autentifikation. Og det er dén del, som gav problemer.
Jeg synes da det er ret alvorligt! Hvis folk kan slå deres adresse op, bliver det lige pludselig meget let at bryde ind og stjæle dit Nemid kort.
Mig bekendt kan man sagtens logge ind på sin netbank med CPR, selvom man så mangler den sidste kode (som vel er mulig at lokke ud af brugeren).
Hvergang vi mister en fortrolig information som fx CPR, kommer vi bare et skridt tættere på hackere kan logge på vores forskellig kontor.
Hvor mange steder har i ikke angivet jeres kreditkort informationer, som måske kan hentes/lokkes ud af en lidt dum service medarbejder.
Selvfølgelig er CPR forældet, og ikke fulgt med digitaliseringen, men er nu engang det som alle benytter.
Mig bekendt kan man sagtens logge ind på sin netbank med CPR, selvom man så mangler den sidste kode (som vel er mulig at lokke ud af brugeren).
Hvergang vi mister en fortrolig information som fx CPR, kommer vi bare et skridt tættere på hackere kan logge på vores forskellig kontor.
Hvor mange steder har i ikke angivet jeres kreditkort informationer, som måske kan hentes/lokkes ud af en lidt dum service medarbejder.
Selvfølgelig er CPR forældet, og ikke fulgt med digitaliseringen, men er nu engang det som alle benytter.
Christensen (18) skrev:Hvor mange steder har i ikke angivet jeres kreditkort informationer, som måske kan hentes/lokkes ud af en lidt dum service medarbejder.
Det skulle du meget nødig kunne nogen steder overhovedet, da de informationer ikke er nogen man bare slår op, som udgangspunkt er det gemt direkte hos betalingsudbyderen, og dem får man det ikke fra - Hvis det ikke er gemt der, så skal du være PCI godkendt og deraf have procedurer og regelsæt til det hele - Ellers gør virksomheden noget de ikke må :)
Som alle har afstemt, så er CPR numre ikke særligt skjulte. Som medarbejder i ungdomsskolen har jeg adgang til rigtig mange 13-17 åriges CPR numre - Så der kan jeg bare vente et par år, så er der en masse på 18 år jeg kan optage lån hos ;) (Hvis det var så nemt).
En skræmmende erfaring jeg har med NEMid til gengæld, er hvor åbenlyst nemt man desværre kan bruge "Social engineering" i forbindelse med nyt kodeord.
Jeg hjalp en ældre herre med at få åbnet sit nemid igen, da han havde tastet forkert gentagne gange.
Hans nemid kort hang på hans opslagstavle, koder og login stod på kortet, alle hans bankudskrifter lå belejligt på hans bord.
Jeg ringer til nemid og siger at vi har brug for et nyt kodeord til manden.
Damen kan godt se at vi er lukket ude og siger at hun kan sende et med posten.
Jeg spørger om ikke det kan gøres "instant" nu hvor jeg er hos manden.
Damen siger at der kan sendes en midlertidig kode til hans telefon, men så skal hun lige snakke med ham.
Han får telefonen, og over de næste 10 minutter er han i stand til at sige sit navn, gætte antallet af kontoer han har forkert (Han sagde 3, der var 4), ikke kunne svare på hvad hans firma hed før til allersidst (Og der kom mange mærkelige bud), svare på hvad hans bankrådgiver hed (Det var også til at se).
Generelt rode i sine papire, nævne ca. Hvad der stod på nogen af hans kontoer (Det kunne jeg også se på de papire..) og ellers bare tåge og være en ældre herre.
Så alt hun fik, var en gammel mands stemme, en masse vrøvl og gode gæt, samt hvad han kunne læse på de ting der lå på skrivebordet.
... Det er nok til at vi kan få en kode sendt med det samme.
MEN, det telefonnummer der var registreret var ikke til hans nuværende telefon, så vi skulle lige have registreret et nyt telefonnummer, intet problem, det gør vi bare :)
Resultatet er at jeg på et kvarter lige så godt kunne have brudt ind i hans hus, fundet hans nøglekort (Det er ret nemt hos de fleste), ringet til nemid, udgivet mig for at være ham, mens jeg rodede papire igennem for at finde ca. Svar, fået en SMS sendt til mit taletidskort, overført alle de penge han havde (Og flere til) til whatever konto, med lidt snilde lavet dem om til bitcoins og straks fået dem ud af verden.
Jeg ved ikke om de har ændret procedurer, men i rimelig grad var det selvfølgelig rart at det kunne lade sig gøre... Men også skræmmende så nemt det gik.
#20
Det er et eksempel på man som borger stadig ikke kan være sikker på at ens private informationer er i sikre hænder....
Det burde ikke have været muligt at få tilsendt en midlertidig kode og det burde heller ikke have været muligt at ændre hans registrerede telefon nummer uden at benytte det nye NemID kort som skulle have været tilsendt med posten.
Jeg mener ikke det er i orden at en persons oplysninger og økonomi kan blive misbrugt så nemt som der bliver skitseret.
Det er et eksempel på man som borger stadig ikke kan være sikker på at ens private informationer er i sikre hænder....
Det burde ikke have været muligt at få tilsendt en midlertidig kode og det burde heller ikke have været muligt at ændre hans registrerede telefon nummer uden at benytte det nye NemID kort som skulle have været tilsendt med posten.
Jeg mener ikke det er i orden at en persons oplysninger og økonomi kan blive misbrugt så nemt som der bliver skitseret.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.