– For et år siden fandt jeg ud af, at man kan tilgå CPR-registeret, lave et antal forespørgsler og dermed relativt nemt finde de sidste fire CPR-cifre for en person, som du kender fødselsdato, -år og det fulde navn på, siger den 25-årige it-udvikler Søren Louv-Jansen.
Kombinerer man den viden med den åbent publicerede beregningsmodel for CPR-numre, kræver det ikke den store indsats at regne sig frem til de CPR-oplysninger, som det generelt ikke er tilladt at offentliggøre.
– Der skal ikke meget brute force til at regne det specifikke CPR-nummer ud, lyder det fra Søren Louv-Jansen, som på en omdiskuteret webside benytter opslag hos teleselskabers hvervesider til at foretage de op til 180 opslag, der er nødvendige for at finde CPR-nummeret.
Reaktionen fra Datatilsynets side var sidst i juni en politianmeldelse, som Søren Louv-Jansen er uforstående overfor.
– Min hensigt er jo udelukkende at demonstrere, hvor usandsynligt dårlig sikkerheden er ved at basere sig på den slags valideringsløsninger, siger udvikleren, som fortsat undrer sig over, at hverken Datatilsynet eller de forskellige teleselskaber har ønsket en dialog med ham.
Sommerdvalen har sænket sig
Søren Louv-Jansens afsløring af sikkerhedsbristen har indtil videre ikke resulteret i reaktioner fra myndighederne.
- Jeg har overhovedet ikke fået henvendelser fra Datatilsynet, politi eller nogen af de berørte teleselskaber. Der holder åbenbart sommerferie, konstaterer han.
Til gengæld har han erfaret, at teleselskaberne nu har en frist til oktober til at få implementeret NemID, så der ikke længere er mulighed for at tappe CPR-oplysninger fra CPR-registre. Men ifølge den unge programmør er skaden allerede sket.
– CPR-data er allerede fosset ud på internettet. Det er lykkedes for mange at omgå forskellige fixes til at begrænse forespørgsler, så der er stadig fuld adgang til CPR-numre, konstaterer Søren Louv-Jansen.
Nu venter han stadig på, om han vil få tilsendt et bødeforlæg, efter politiet aflagde ham et besøg i juni.
– De lyttede venligt og så til, mens jeg demonstrerede, hvordan min webside, der gætter cpr-numre virkede. Da de gik, var meldingen, at de ikke ville foretage sig yderligere. Men jeg hørte fra dem dagen efter, og da var holdningen ændret. Nu kan jeg så se frem til et eventuelt bødeforlæg på 5.000 kroner, fortæller Søren Louv-Jansen.
Han opfordrer til generelt at droppe løsninger, der baserer sig på sikkerheden i de sølle fire sidste cifre i et givent CPR-nummer. De medfører en alt for stor risiko for identitetstyverier.
– Jeg siger ikke, at NemID er den ideelle løsning, men den er oplagt meget sikrere end den nuværende praksis. Så indtil der måske viser sig en elegant og bedre løsning, må det være den sikkerhedsinfrastruktur, der bliver anvendt, siger han.
PROSAs formand, Niels Bertelsen, støtter initiativet fra det unge PROSA-medlem og peger på, at det er de ansvarlige myndigheder, der har et problem:
"I stedet for at skyde budbringeren bør Datatilsynet og andre gå ind i en debat om, hvordan vi får lavet en løsning, der er mere holdbar end det nuværende CPR-nummer. Og så skal der laves vejledninger i, hvad virksomheder, organisationer og myndigheder i stedet kan bruge, når man skal identificere eller verificere en bruger," siger Niels Bertelsen i en kommentar.
