mboost-dp1
flickr - Brandon Grasley
Sååeh, Datatilsynet konkluderer at data ikke er blevet kigget på, fordi dem som havde modtaget og åbnet brevet siger at de ikke har?
Svarer det ikke til at politiet stopper en mistænksom person som kommer ud af en bankboks, og lader vedkommende gå, fordi vedkommende oplyser politiet at han ikke har taget nogen af pengene?
Svarer det ikke til at politiet stopper en mistænksom person som kommer ud af en bankboks, og lader vedkommende gå, fordi vedkommende oplyser politiet at han ikke har taget nogen af pengene?
#1 - Tænkte præcis det samme, hvordan i alverden kan de vide, at kineserne ikke har lavet en kopi og solgt den til højeste byder? Der er jo gode penge i CPR numre. især fra lande som Danmark...
Kinesiske hackere/scammere kan godt byde gode penge for at få fat i CPR numre for næsten hele danmarks befolkning.
Og hvorfor fanden bliver de sendt på fysiske medier i det hele taget!? Er det ikke lettere at kryptere og billigere, at sende via nettet? Eller i det mindste på en USB pen der kræver en fysisk kode for i det hele taget at tilgå!?
Eller måske har de antaget, at ingen bruger CD'er i dag, så ingen kunne have set dataene da der ikke er nogen så oldschool tilbage :P
Kinesiske hackere/scammere kan godt byde gode penge for at få fat i CPR numre for næsten hele danmarks befolkning.
Og hvorfor fanden bliver de sendt på fysiske medier i det hele taget!? Er det ikke lettere at kryptere og billigere, at sende via nettet? Eller i det mindste på en USB pen der kræver en fysisk kode for i det hele taget at tilgå!?
Eller måske har de antaget, at ingen bruger CD'er i dag, så ingen kunne have set dataene da der ikke er nogen så oldschool tilbage :P
HenrikH (1) skrev:
Svarer det ikke til at politiet stopper en mistænksom person som kommer ud af en bankboks, og lader vedkommende gå, fordi vedkommende oplyser politiet at han ikke har taget nogen af pengene?
Ikke helt, fordi kineserne har ikke gjort noget ulovligt i dette tilfælde, det er ikke deres skyld at de har modtaget en pakke/brev med CDer som indeholder cprnumre.
vedr. din historie har person gjort noget ulovligt ved at personen har gået ind i bankboksen i første omgang. ;)
Kian (3) skrev:Det der undrer mig er hvordan PostDanmark kan aflevere et anbefalet brev forkert.
Hvad tjener PostDanmark egentlig penge på? jeg mener hvis de ikke engang kan finde ud af deres main-service så kan det undre at de overhovedet er i branchen.
uanset hvad så er postdanmarks service ufatteligt elendig i forvejen, undre mig ikke at dette kunne ske.
Det sker ret tit at postbudet ikke orker at smutte op til 4 sal hos mig og aflevere en pakke, i stedet vælger han at smide et brev i postkassen hvor der står at der ingen var hjemme da han var forbi hvilket i langt de fleste tilfælde har været en lodret løgn.
Så postbudet har sikkert, i denne sag, tænkt "damn 50 meter mere hen til huset, naaaa det orker jeg ikke, jeg smider brevet i en anden postkasse i stedet, og så ordner de det nok indbyrdes"
Altså. Det der efter min mening er gældende i den her sag er at vedkommende har valgt at sende det ukrypteret via brevpost. Selvom det er et anbefalet brev kan menneskelige fejl alligevel ske, hvilket afsenderen burde have taget højde for.
Hvis afsenderen bare havde tænkt sig lidt om, havde afsenderen krypteret data, sendt dem via nettet, og givet modtageren koderne på anden vis. Alle kan bryde ind i en pakke og åbne data der ikke er krypteret.
Det er helt ærligt næsten alle danskeres personnumre og informationer der er kommet i forkerte hænder. Har vedkommende ikke mere respekt for os?
Kan heller ikke forstå hvorfor der ikke er regler for hvordan sådanne data må behandles, og hvem det må afsendes af. Det virker amatøragtigt.
Men så igen, det er dansk it sikkerhed i en nødeskald. Sikkerhed? Naaaj vel?
Hvis afsenderen bare havde tænkt sig lidt om, havde afsenderen krypteret data, sendt dem via nettet, og givet modtageren koderne på anden vis. Alle kan bryde ind i en pakke og åbne data der ikke er krypteret.
Det er helt ærligt næsten alle danskeres personnumre og informationer der er kommet i forkerte hænder. Har vedkommende ikke mere respekt for os?
Kan heller ikke forstå hvorfor der ikke er regler for hvordan sådanne data må behandles, og hvem det må afsendes af. Det virker amatøragtigt.
Men så igen, det er dansk it sikkerhed i en nødeskald. Sikkerhed? Naaaj vel?
Skulle vi ikke benytte lejligheden til én gang for alle at erklære personnumre lige så (lidt) hemmelige og personfølsomme som navne eller telefonnumre?
Det er fjollet, at personnumre nogle steder bliver betragtet som "sikre", og at det gås ud fra, at hvis en person identificerer sig med personnummer, jamen så må han være dén person.
Den er en kilde til svindel.
Lad os nu lukke ned for den.
Det er fjollet, at personnumre nogle steder bliver betragtet som "sikre", og at det gås ud fra, at hvis en person identificerer sig med personnummer, jamen så må han være dén person.
Den er en kilde til svindel.
Lad os nu lukke ned for den.
HenrikH (6) skrev:compax (4) skrev:vedr. din historie har person gjort noget ulovligt ved at personen har gået ind i bankboksen i første omgang. ;)
Det kunne da være at han havde ledt efter toilettet? :-P
He ja det er selvfølgelig rigtig, og så gav han sig til at tisse i hjørnet fordi han ikke kunne finde et, hvilket nok er ulovligt.
graynote (8) skrev:Skulle vi ikke benytte lejligheden til én gang for alle at erklære personnumre lige så (lidt) hemmelige og personfølsomme som navne eller telefonnumre?
Det er fjollet, at personnumre nogle steder bliver betragtet som "sikre", og at det gås ud fra, at hvis en person identificerer sig med personnummer, jamen så må han være dén person.
Den er en kilde til svindel.
Lad os nu lukke ned for den.
Jeg kan kun se win win ved det for Så kunne jeg blive fri for at skulle gå rundt og huske på mine børns CPR numre, hvilket jeg sommetider løber rundt i.
Hele CPR systemet er gennemhullet. Men ikke fra CPR's side... Fra Sundhedsdatastyrelsen.
Alle forskere kan bede om informationer om alle danskere via Sundhedsdatastyrelsen's forsker service:
http://sundhedsdatastyrelsen.dk/da/forskerservice
Og det er her problemet ligger. Kan huske en gammel nyhed, hvor de nævnte, at det var yderst sjældent, de ikke leverede det ønskede data.
Der er næsten ingen kontrol med, at du er den forsker, du siger du er, og at du faktisk forsker, i det du beder om information om.
Og det er fint nok de skriver at data er pseudonymiserede. Men hvornår har en forsker brug for dit fulde CPR. Fødselsdato er mere end nok, så hvorfor har de overhoved mulighed for at trække CPR ud i dette system??
Alle forskere kan bede om informationer om alle danskere via Sundhedsdatastyrelsen's forsker service:
http://sundhedsdatastyrelsen.dk/da/forskerservice
Og det er her problemet ligger. Kan huske en gammel nyhed, hvor de nævnte, at det var yderst sjældent, de ikke leverede det ønskede data.
Der er næsten ingen kontrol med, at du er den forsker, du siger du er, og at du faktisk forsker, i det du beder om information om.
Og det er fint nok de skriver at data er pseudonymiserede. Men hvornår har en forsker brug for dit fulde CPR. Fødselsdato er mere end nok, så hvorfor har de overhoved mulighed for at trække CPR ud i dette system??
På samme måde her som med Clinton, så kommer vi ikke til at se nogle der bliver dømt eller mister deres job. Det er utroligt så fleksibel lovgivningen ligepludseligt er når man kommer lidt op i graderne. Det er til at brække sig over. For de ved jo godt hvordan sådan nogle ting her skal behandles... man får sgu da ikke bare fortrolige oplysninger i hånden. Det VED jeg man ikke gør
Nu kan kineserne sikkert bruge sådanne data til et eller andet.
Men der er vel også "safety in numbers" i forhold til scammere og andet. Hvis du finder tre CPR-numre, kan du forsøge at bruge dem til noget identitetstyveri eller andet. Men 5 millioner CPR-numre? Hvor skal man begynde?
Det svarer lidt til at sidde på et kurdisk pizzaria med et menukort med 5 millioner pizzakombinationer, i usorteret rækkefølge, og hvor ingredienserne kun fremgår delvist.
Men jeg er også lidt naiv, så...
Men der er vel også "safety in numbers" i forhold til scammere og andet. Hvis du finder tre CPR-numre, kan du forsøge at bruge dem til noget identitetstyveri eller andet. Men 5 millioner CPR-numre? Hvor skal man begynde?
Det svarer lidt til at sidde på et kurdisk pizzaria med et menukort med 5 millioner pizzakombinationer, i usorteret rækkefølge, og hvor ingredienserne kun fremgår delvist.
Men jeg er også lidt naiv, så...
compax (4) skrev:
Ikke helt, fordi kineserne har ikke gjort noget ulovligt i dette tilfælde, det er ikke deres skyld at de har modtaget en pakke/brev med CDer som indeholder cprnumre.
Hvis ikke brevet var adresseret til dem, er det stadig ulovligt for dem at åbne posten uanset om så postmanden har lagt den i hånden på dem.
Så vidt jeg husker er det norske CPR system ligesom det danske - men der er også udover CPR nummeret, vedlagt fire eller seks cifre som kun ejeren af CPR nummeret kender. Det vil sige, man har sit CPR nummer som er en "pointer" til dig som person, hvilket man kan bruge til at abonnere på personens adresse f.eks. - men skal du lave noget finansielt eller binde dig, skal de ekstra cifre bringes ind i kampen. Derved kan man, som jeg forstår det, lave en finansiel identifikation.
Oven i det kan man jo udvide borger.dk med at man kan tillade / nægte de "hooks" virksomheder har på ens person, samtidig med at man kan ændre den ekstra 4-6 cifrede kode bagved (men ikke at man dermed fjerner de "hooks" er der på ens finansielle person).
Oven i det kan man jo udvide borger.dk med at man kan tillade / nægte de "hooks" virksomheder har på ens person, samtidig med at man kan ændre den ekstra 4-6 cifrede kode bagved (men ikke at man dermed fjerner de "hooks" er der på ens finansielle person).
fennec (12) skrev:.......
Og det er fint nok de skriver at data er pseudonymiserede. Men hvornår har en forsker brug for dit fulde CPR. Fødselsdato er mere end nok, så hvorfor har de overhoved mulighed for at trække CPR ud i dette system??
Præcis hvorfor var cpr-nummer overhovedet med i første omgang?
Som jeg forstår det - når en instans (forskere) vil lave statistik og efterspørger et dataudtræk, foregår det igennem en samlet instans, dvs. Danmark Statistik (DS). DS samler så informationer om hvad forskere skal bruge data'en til og afgører om det kan lade sig gøre / godkender og validerer efterspørgslen. Derefter sendes der ansøgninger til alle de instanser der skal sende information retur - f.eks. her SSI.
Som jeg så forstår det, er CPR nummeret ikke hashet / scrambled, når Danmark Statistik så får dem ind. De sammenkæder og/eller scrambler så CPR nummeret med samme algoritme (så det er 1-1 sammenligneligt) og dataen bliver givet til forskerne der skal bruge den (via en fjernkontrolleret computer med bestemte programmer på de kan bruge - og intet andet).
Når forkerne så skal have dataen ud, smider de dem i en mappe, hvorfra der så tjekkes stik-prøve-agtigt, om man sender det scramblede CPR nummer med (som man vist ikke må).
Det der så er sket her er, at processen med at samle dataen fra de instanser der skal sende informationen til samlemuffen (Danmark Statistik) har været for elendig. Og Danmarks Statistik har åbenbart (!!!) ikke klaget over at deres forsendelser kommer ukrypteret frem.
Som jeg så forstår det, er CPR nummeret ikke hashet / scrambled, når Danmark Statistik så får dem ind. De sammenkæder og/eller scrambler så CPR nummeret med samme algoritme (så det er 1-1 sammenligneligt) og dataen bliver givet til forskerne der skal bruge den (via en fjernkontrolleret computer med bestemte programmer på de kan bruge - og intet andet).
Når forkerne så skal have dataen ud, smider de dem i en mappe, hvorfra der så tjekkes stik-prøve-agtigt, om man sender det scramblede CPR nummer med (som man vist ikke må).
Det der så er sket her er, at processen med at samle dataen fra de instanser der skal sende informationen til samlemuffen (Danmark Statistik) har været for elendig. Og Danmarks Statistik har åbenbart (!!!) ikke klaget over at deres forsendelser kommer ukrypteret frem.
graynote (8) skrev:Skulle vi ikke benytte lejligheden til én gang for alle at erklære personnumre lige så (lidt) hemmelige og personfølsomme som navne eller telefonnumre?
Det er fjollet, at personnumre nogle steder bliver betragtet som "sikre", og at det gås ud fra, at hvis en person identificerer sig med personnummer, jamen så må han være dén person.
Den er en kilde til svindel.
Lad os nu lukke ned for den.
Enig.
Men indtil dette er gennemført bør sikkerheden på noget med CPR numre være på et acceptabelt niveau.
Og i det specifikke emne vi taler om skal data være beskyttet selvom alle CPR er offentliggjort på CPR registrets hjemme side.
Det drejer sig nemlig ikke bare om CPR numre men om CPR numre koblet med helbredsoplysninger.
CPR numre bør være offentlige, men det bør helbredsoplysninger ikke.
Med hensyn til den slags data her, så skal der sikres mod:
* data kan laese af andre end tilsigtet modtager
* data kan modificeres under transport
* data kan komme fra andre end tilsigtet afsender
Altså: data krypteret med symmetrisk algoritme og en key der er kryptografisk sikker tilfældig og medsendt krypteret med modtagers offentlige nøgle og afsender private nøgle ved brug af asymmetrisk algoritme.
* data kan laese af andre end tilsigtet modtager
* data kan modificeres under transport
* data kan komme fra andre end tilsigtet afsender
Altså: data krypteret med symmetrisk algoritme og en key der er kryptografisk sikker tilfældig og medsendt krypteret med modtagers offentlige nøgle og afsender private nøgle ved brug af asymmetrisk algoritme.
graynote (8) skrev:Skulle vi ikke benytte lejligheden til én gang for alle at erklære personnumre lige så (lidt) hemmelige og personfølsomme som navne eller telefonnumre?
Problemet med CPR numre, er at de indeholder personfølsom information, nemlig fødselsdato. Så vidt jeg har forstået, er det derfor man ikke kan frigive dem til offentligheden som identifikation for en person.
CPR numre skal selvfølgelig aldrig bruges til at autentificere at en given person er hvem vedkommende udgiver sig for at være, da det er ret let at finde folks CPR numre.
Private virksomheder skal overholde persondataloven...
Men offentlige og halv offentlige. ... pyt! Hvor der (måske) handles der spildes. ...
Jamen jamen...
Det er bare ÆRGELIGT SUNNYBOY
Men offentlige og halv offentlige. ... pyt! Hvor der (måske) handles der spildes. ...
Jamen jamen...
Det er bare ÆRGELIGT SUNNYBOY
CBM (22) skrev:Private virksomheder skal overholde persondataloven...
Men offentlige og halv offentlige. ... pyt! Hvor der (måske) handles der spildes. ...
Der er nu også mange eksempler på at private virksomheder har sjusket og sluppet med en løftet pegefinger.
Det er simpelthen generelt billigt at sjuske med datasikkerhed i Danmark.
Det er desværre ikke sammenligneligt, men alligevel liiiiidt sjovt...
http://www.dr.dk/nyheder/indland/politiet-tiltaler...
http://www.dr.dk/nyheder/indland/politiet-tiltaler...
@tweak... havde de da bare været offentlige ansatte så var de jo sluppet med en løftet pegefinger :-)
Det følsomme ved CPR numre er desværre ikke kun fødselsdatoen. Der er mange mange steder her i Danmark der med ens navn og CPR nummer stort set tager det som ID og man kan så bruge det til at hæve penge i banken, hente recepter på apoteket og i nogle tilfælde skal man bare bruge en persons CPR nummer, deres addresse og vide hvornår de ikke er hjemme i nogle få dage, og så kan man stjæle hele den persons identitet og det er ikke særligt nemt at få den slags stoppet.
Jeg er i en gruppe på Facebook hvor er er nogen af dem som er lidt paranoide, eller måske bare fornuftige, så de har prøvet at få et nyt CPR nummer pga. dette, men det kan man jo ikke sådan lige.
Det er 5,3 millioner CPR numre som er lækkede og det var imellem 2010 og 2012 så vi var omkring 5,4 til 5,6 millioner danskere i den periode, det betyder vidst at det er over 90% af vores CPR numre som er lækket. Ikke særligt heldigt.
Ja, der er mange som har adgang til store mænger CPR numre. Skoler, hospitaler og meget andet, men dem som man giver adgang til dette dem har man jo tillid til at de ikke misbruger det, og man burde have skrevet noget om det i sin kontrakt.
Jeg er i en gruppe på Facebook hvor er er nogen af dem som er lidt paranoide, eller måske bare fornuftige, så de har prøvet at få et nyt CPR nummer pga. dette, men det kan man jo ikke sådan lige.
Det er 5,3 millioner CPR numre som er lækkede og det var imellem 2010 og 2012 så vi var omkring 5,4 til 5,6 millioner danskere i den periode, det betyder vidst at det er over 90% af vores CPR numre som er lækket. Ikke særligt heldigt.
Ja, der er mange som har adgang til store mænger CPR numre. Skoler, hospitaler og meget andet, men dem som man giver adgang til dette dem har man jo tillid til at de ikke misbruger det, og man burde have skrevet noget om det i sin kontrakt.
Desværre er politikerne PISSE LIGEGLADE!
Vi skal nok til at se meget omfattende og grov svindel med politikernes cpr numre før der (måske) sker noget...
Sålænge det kun er os almindelige usle borgere som bare skal holde kæft og betale polikernes løn, så politikerne kan fede den og indføre diktatur af bagvejen...så sker der ikke en skid.. andet end at vi får flere terror pakker, broer og hvad de ellers finder af latterligt pis...
Der er vel ikke mere end 1% af ministre som aner hvad deres ministerium handler om
Men det er jo nok også problemet... dem der har involveret politikerne cpr lotteri f.eks. har været flinke
De der ikke er flinke ville aldrig misbruge en politikers cpr Nr da de ønsker at politikerne fortsat skal ignorere problemerne
Og hvordan reagerer man på cpr lotteri siden? Man sætter himmel og helvede igang for at stoppe den og tror så at problemet er væk
Vi skal nok til at se meget omfattende og grov svindel med politikernes cpr numre før der (måske) sker noget...
Sålænge det kun er os almindelige usle borgere som bare skal holde kæft og betale polikernes løn, så politikerne kan fede den og indføre diktatur af bagvejen...så sker der ikke en skid.. andet end at vi får flere terror pakker, broer og hvad de ellers finder af latterligt pis...
Der er vel ikke mere end 1% af ministre som aner hvad deres ministerium handler om
Men det er jo nok også problemet... dem der har involveret politikerne cpr lotteri f.eks. har været flinke
De der ikke er flinke ville aldrig misbruge en politikers cpr Nr da de ønsker at politikerne fortsat skal ignorere problemerne
Og hvordan reagerer man på cpr lotteri siden? Man sætter himmel og helvede igang for at stoppe den og tror så at problemet er væk
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund