mboost-dp1

Endnu et eksempel på meget dårlig sikkerhed


Gå til bund
Gravatar #2 - CBM
19. maj 2015 06:28
Det er jo efterhånden en hverdags begivenhed at der lækkes CPR numre...

Alligevel insisterer vores KÆRE politikere på at du både kan IDENTIFICERE og VERIFICERE din identitet UDELUKKENDE med dit CPR nummer...

Men sålænge det primært er almindelige skatteydere og "de der andre mennesker" det går ud over, så er det jo TOTALT ligegyldigt :-)
Gravatar #3 - gramps
19. maj 2015 08:55
CBM (2) skrev:
Men sålænge det primært er almindelige skatteydere og "de der andre mennesker" det går ud over, så er det jo TOTALT ligegyldigt :-)


Der var i hvert fald ramaskrig fra politikerne, da en aktivist lavede en hjemmeside hvor man kunne gætte politikernes CPR-numre...
Gravatar #4 - CBM
19. maj 2015 09:05
#3
True, men CPR skandalerne ruller jo fortsat.

Måske hvis et stort antal politikere pludselig fik deres CPR numre misbrugt til at optage kæmpe lån ved LEASY ?

Som borger er jeg rystet over hvor ligeglad politikere er med at beskytte private borgeres økonomi og privatliv.

Situationen hvad angår beskyttelse af privatlivets fred og sikring af borgernes privat økonomi har været MEGET KRITISK, MEGET LÆNGE.

SÅ FÅ DET DA GJORT ULOVLIGT at VERIFICERE en borgers IDENTITET med CPR ØJEBLIKKELIGT!!!... Benyt NEMID til VERIFICERING I STEDET...
Gravatar #5 - Qw_freak
19. maj 2015 09:05
gramps (3) skrev:
Der var i hvert fald ramaskrig fra politikerne, da en aktivist lavede en hjemmeside hvor man kunne gætte politikernes CPR-numre...

Så var det godt de kunne få manden staffet så de ku undgå misbrug... Eller, nårh nej....
Gravatar #6 - gramps
19. maj 2015 09:38
CBM (4) skrev:
True, men CPR skandalerne ruller jo fortsat.


Og det er så fordi politikerne normalt ikke rammes. Som #5 siger, så fik de jo straffet manden (mener det var med en bøde på 10.000 kr), men lærte ingenting af lektien.
Gravatar #7 - Hængerøven
19. maj 2015 12:36
CBM (4) skrev:
Måske hvis et stort antal politikere pludselig fik deres CPR numre misbrugt til at optage kæmpe lån ved LEASY ?


Det kan ikke lade sig gøre.


Hvad gør brugen af CPR til et problem? Snakken har floreret her inde en del gange, men der mangler konkrete eksempler, synes jeg..
Gravatar #8 - CBM
19. maj 2015 12:53
#7

:-)

Problemet er vel at dit CPR nummer kendes af mange og regelmæssigt lækkes fra diverse IT systemer ?

samt
at hvis en person fik fat i CPR nummer så kunne de optage lån i dit navn eller måske overtage din identitet?

Eller har myndighederne, kredit selskaberne og butikkerne endelige fattet at et CPR nummer ikke er hemmeligt?
Gravatar #9 - Chewy
19. maj 2015 13:14
Hvor kan man optage lån, udelukkende via cpr-nummer, uden at de bliver sat ind på din nemkonto?
Gravatar #10 - Hængerøven
19. maj 2015 13:17
Det var en problematik, da telefon selskaber lod folk oprette abonnement ved brug af CPR. Det kan man ikke mere.
Det er et konkret eksempel på en problematik omkring brugen af CPR.


Har du et konkret eksempel på hvordan CPR kan bruges til at optage et lån? eller bruges til identitets tyveri?

Jeg har.. Københavns kommune tillod engang at flytte adresse ved hjælp af kun cpr, hvilket gjorde at man kunne overtage en persons post. Det kan man ikke mere.

så vi er tilbage ved

Hængerøven (7) skrev:
men der mangler konkrete eksempler, synes jeg
Gravatar #11 - arne_v
19. maj 2015 13:24
CBM (4) skrev:
SÅ FÅ DET DA GJORT ULOVLIGT at VERIFICERE en borgers IDENTITET med CPR ØJEBLIKKELIGT!!!


Jeg er helt enig i at CPR-nummer ikke bør (ikke kan) bruges til identificering.

Men jeg tror at det vil være tilstrækkeligt og principielt mere passende at gøre det klart at virksomheder der accepterer CPR-nummer som identifikation ingen muligheder har for at håndhæve deres krav (RKI, fogedret, generelle domstole etc. bare afvise krav baseret på CPR-nummer identifikation). Så vil problemet hurtigt løse sig selv.
Gravatar #12 - arne_v
19. maj 2015 13:26
CBM (8) skrev:
at hvis en person fik fat i CPR nummer så kunne de optage lån i dit navn eller måske overtage din identitet?


Det er den generelle opfattelse.

Men det er vist 99% myte og 1% realitet. Det er set når nogen har implementeret et dårligt system. Men de flest kræver mere dokumentation. Og dem der ikke gjorde bliver hurtigt klogere.
Gravatar #13 - Qw_freak
19. maj 2015 13:27
arne_v (11) skrev:
Så vil problemet hurtigt løse sig selv.

Hold da op der er mange der bare kan stoppe med at indbetale til deres lån så.... :)
Gravatar #14 - Hængerøven
19. maj 2015 13:32
https://cpr.dk/service/nyheder/2014/aug/krav-om-ne...

Lidt læsning til dem der stadig mener, vi intet lærte af IT mandens "cpr lotteri"
Gravatar #15 - arne_v
19. maj 2015 13:52
Qw_freak (13) skrev:
Hold da op der er mange der bare kan stoppe med at indbetale til deres lån så....


Du tror ikke at de fleste lån faktisk har en låne aftale med navn og en underskrift??
Gravatar #16 - CBM
19. maj 2015 14:10
#14
Interessant og overraskende at det offentlige Danmark har indset at et CPR nummer ikke er så hemmeligt som det var engang.

Jeg kan så med glæde sige at ... I stand corrected :)
Gravatar #17 - gramps
19. maj 2015 19:12
arne_v (11) skrev:
Jeg er helt enig i at CPR-nummer ikke bør (ikke kan) bruges til identificering.


Åh jo, CPR-nummeret er jo genialt til lige præcis identifikation. Jens Hansen har kun ét CPR-nummer selvom han har mange navnebrødre. Problemet har været, at CPR-nummeret blev anset for at være hemmeligt. Det var kun bæreren, som kendte til det, så mange brugte det som autentifikation. Og det er dén del, som gav problemer.
Gravatar #18 - Christensen
20. maj 2015 07:53
Jeg synes da det er ret alvorligt! Hvis folk kan slå deres adresse op, bliver det lige pludselig meget let at bryde ind og stjæle dit Nemid kort.
Mig bekendt kan man sagtens logge ind på sin netbank med CPR, selvom man så mangler den sidste kode (som vel er mulig at lokke ud af brugeren).
Hvergang vi mister en fortrolig information som fx CPR, kommer vi bare et skridt tættere på hackere kan logge på vores forskellig kontor.
Hvor mange steder har i ikke angivet jeres kreditkort informationer, som måske kan hentes/lokkes ud af en lidt dum service medarbejder.
Selvfølgelig er CPR forældet, og ikke fulgt med digitaliseringen, men er nu engang det som alle benytter.
Gravatar #19 - Saxov
20. maj 2015 09:30
Christensen (18) skrev:
Mig bekendt kan man sagtens logge ind på sin netbank med CPR,
Dette kan du selv slå fra på nemids side.

Nemid acceptere fx ikke mit cprnr som et gyldigt brugernavn.
Gravatar #20 - mELIeha
20. maj 2015 10:14
Christensen (18) skrev:
Hvor mange steder har i ikke angivet jeres kreditkort informationer, som måske kan hentes/lokkes ud af en lidt dum service medarbejder.

Det skulle du meget nødig kunne nogen steder overhovedet, da de informationer ikke er nogen man bare slår op, som udgangspunkt er det gemt direkte hos betalingsudbyderen, og dem får man det ikke fra - Hvis det ikke er gemt der, så skal du være PCI godkendt og deraf have procedurer og regelsæt til det hele - Ellers gør virksomheden noget de ikke må :)

Som alle har afstemt, så er CPR numre ikke særligt skjulte. Som medarbejder i ungdomsskolen har jeg adgang til rigtig mange 13-17 åriges CPR numre - Så der kan jeg bare vente et par år, så er der en masse på 18 år jeg kan optage lån hos ;) (Hvis det var så nemt).

En skræmmende erfaring jeg har med NEMid til gengæld, er hvor åbenlyst nemt man desværre kan bruge "Social engineering" i forbindelse med nyt kodeord.
Jeg hjalp en ældre herre med at få åbnet sit nemid igen, da han havde tastet forkert gentagne gange.
Hans nemid kort hang på hans opslagstavle, koder og login stod på kortet, alle hans bankudskrifter lå belejligt på hans bord.
Jeg ringer til nemid og siger at vi har brug for et nyt kodeord til manden.
Damen kan godt se at vi er lukket ude og siger at hun kan sende et med posten.
Jeg spørger om ikke det kan gøres "instant" nu hvor jeg er hos manden.
Damen siger at der kan sendes en midlertidig kode til hans telefon, men så skal hun lige snakke med ham.
Han får telefonen, og over de næste 10 minutter er han i stand til at sige sit navn, gætte antallet af kontoer han har forkert (Han sagde 3, der var 4), ikke kunne svare på hvad hans firma hed før til allersidst (Og der kom mange mærkelige bud), svare på hvad hans bankrådgiver hed (Det var også til at se).
Generelt rode i sine papire, nævne ca. Hvad der stod på nogen af hans kontoer (Det kunne jeg også se på de papire..) og ellers bare tåge og være en ældre herre.
Så alt hun fik, var en gammel mands stemme, en masse vrøvl og gode gæt, samt hvad han kunne læse på de ting der lå på skrivebordet.
... Det er nok til at vi kan få en kode sendt med det samme.
MEN, det telefonnummer der var registreret var ikke til hans nuværende telefon, så vi skulle lige have registreret et nyt telefonnummer, intet problem, det gør vi bare :)

Resultatet er at jeg på et kvarter lige så godt kunne have brudt ind i hans hus, fundet hans nøglekort (Det er ret nemt hos de fleste), ringet til nemid, udgivet mig for at være ham, mens jeg rodede papire igennem for at finde ca. Svar, fået en SMS sendt til mit taletidskort, overført alle de penge han havde (Og flere til) til whatever konto, med lidt snilde lavet dem om til bitcoins og straks fået dem ud af verden.
Jeg ved ikke om de har ændret procedurer, men i rimelig grad var det selvfølgelig rart at det kunne lade sig gøre... Men også skræmmende så nemt det gik.
Gravatar #21 - CBM
21. maj 2015 07:21
#20
Det er et eksempel på man som borger stadig ikke kan være sikker på at ens private informationer er i sikre hænder....

Det burde ikke have været muligt at få tilsendt en midlertidig kode og det burde heller ikke have været muligt at ændre hans registrerede telefon nummer uden at benytte det nye NemID kort som skulle have været tilsendt med posten.

Jeg mener ikke det er i orden at en persons oplysninger og økonomi kan blive misbrugt så nemt som der bliver skitseret.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login