mboost-dp1
PROSA
Nu har ikke overtaget nogen identitet for nyligt, men med det info det lyder til der er i mailen kan enhver vel skifte adresse, få sygesikringsbevis tilsendt, oprette en ny konto, få adgang til de gamle, få nyt kørekort og tilsendt et pas.
Det er ikke bare en lille svipser, og selv om Prosa er klar over det skal der vel stadig ske noget markant i sagen.
Det er ikke bare en lille svipser, og selv om Prosa er klar over det skal der vel stadig ske noget markant i sagen.
Det var sgu da utroligt! Hvor mange lignende sager skal der være før folk fatter pointen? At lave medlemsarkivet om til en kollektiv invitation, er da helt til grin.
Det her burde ha stramme konsekvenser - især fordi det er en it-fagforening der selv råber højt når det mindste går galt!
Det her burde ha stramme konsekvenser - især fordi det er en it-fagforening der selv råber højt når det mindste går galt!
Det første jeg undrede mig over var at det excel dokument ikke var krypteret eller i det mindste havde en kode på..
Ved godt at en simpel kode ikke altid er nok, men det er da en begyndelse? At have lortet liggende i clear-text er sguda noget af det dummeste :D
- nåja, det er jo heller ikke fordi det er en fagforening for IT-pro's ... oh wait?
Ved godt at en simpel kode ikke altid er nok, men det er da en begyndelse? At have lortet liggende i clear-text er sguda noget af det dummeste :D
- nåja, det er jo heller ikke fordi det er en fagforening for IT-pro's ... oh wait?
hvordan vehæfter man lige sådan en fil ved en fejl? man skal godt nok være computerspasser for lige at finde den værse fil frem og så ved et "uheld" vedhæfte den
Nu må det snart være på tide at der bliver udstedt bøder for den slags dummerter. Virksomheder (Inklusive fagforeninger) forstår kun alvoren når der er penge involveret.
Det er jo langt fra første gang nogen har kommet til at lække fortrolige personlige oplysninger, men gang på gang er konsekvensen kun en påtale og ingen straf.
Det er jo langt fra første gang nogen har kommet til at lække fortrolige personlige oplysninger, men gang på gang er konsekvensen kun en påtale og ingen straf.
Jeg kan så sige det ikke er første gang de deler ud af deres medlemmers person oplysninger.
Jeg har skrevet til dem for et par år siden at kalde sig "Forbundet af It-professionelle" måske er lidt i overkanten.
Både Prosa og Sam-Data/HK har absolut ingen forstand på IT og deler med glæde dine oplysninger ud til alle og enhver.
Har de sendt en undskyld email? Ville da være rart at vide om de har sendt ens CPR-nummer rundt, burde jeg vel have ret til at vide.
Jeg har skrevet til dem for et par år siden at kalde sig "Forbundet af It-professionelle" måske er lidt i overkanten.
Både Prosa og Sam-Data/HK har absolut ingen forstand på IT og deler med glæde dine oplysninger ud til alle og enhver.
Har de sendt en undskyld email? Ville da være rart at vide om de har sendt ens CPR-nummer rundt, burde jeg vel have ret til at vide.
Mort (7) skrev:Nu må det snart være på tide at der bliver udstedt bøder for den slags dummerter. Virksomheder (Inklusive fagforeninger) forstår kun alvoren når der er penge involveret.
Det er jo langt fra første gang nogen har kommet til at lække fortrolige personlige oplysninger, men gang på gang er konsekvensen kun en påtale og ingen straf.
Luk Prosa.
Problemet med bøde er lidt hvordan den skal udmåles? Ligesom med parkerings bøder ... personen som tjener 10 mill om året er nok ligeglad med en bøde på 500 kr. mens personen der lever for 300k om året nok tager det lidt mere tungt.
mvh
Bøde (hvis det er muligt?) samt undersøgelse af hvorfor sådan nogen oplsyninger ligger tilgængeligt i et simpelt Excel ark.syska (6) skrev:Hvad ville prosa medlemmerne få ud af at melde det? Erstatning på en million? Hvad er formålet hvis et firma her allerede har erkendt problemet?
Frataget retten til at bruge CPR til at få oplysninger?
mvh
http://www.prosa.dk/syska (8) skrev:hvem siger dem som er medlem er IT-Pros?
"Forbundet af It-professionelle".
syska (6) skrev:Frataget retten til at bruge CPR til at få oplysninger?
Det så jeg faktisk gerne blev generelt. Der er ret mange steder, hvor de forlanger dit CPR nr., for at du kan blive kunde el. lign. Steder, hvor de vel og mærke ingen god grund har til at have dette.
Det er ret begrænset, hvem som har krav på at få dit CPR nr. til at identificere dig med, men der er gået kutyme i bare at forlange det, og at folk udleverer det.
Nasp (9) skrev:Har de sendt en undskyld email? Ville da være rart at vide om de har sendt ens CPR-nummer rundt, burde jeg vel have ret til at vide.
De undskyldte kort efter, hvis det er den nuværende læk, du skriver om. Der er netop kommet endnu en mail kl. 12, hvor de vedhæfter kommunikation med datatilsynet og opfordrer alle til at slette enhver form for kopi af excel ark'et... digitalt såvel som i papirform. Også for medlemmernes egen skyld, da vi kan drages til ansvar, hvis de personfølsomme oplysninger deles med andre.
Selvom der ingen tvivl er om, at de har dummet sig, så håndteres det korrekt og professionelt, synes jeg.
HenrikH (12) skrev:Det så jeg faktisk gerne blev generelt. Der er ret mange steder, hvor de forlanger dit CPR nr., for at du kan blive kunde el. lign. Steder, hvor de vel og mærke ingen god grund har til at have dette.
Det er ret begrænset, hvem som har krav på at få dit CPR nr. til at identificere dig med, men der er gået kutyme i bare at forlange det, og at folk udleverer det.
Ofte bruges til jo til adresse og da det er unik er det jo rimelig smart.
Jeg så dog gerne at man kun et andet "id" som kun havde til formål at give adressen.
Magten (11) skrev:Bøde (hvis det er muligt?) samt undersøgelse af hvorfor sådan nogen oplsyninger ligger tilgængeligt i et simpelt Excel ark.syska (6) skrev:Hvad ville prosa medlemmerne få ud af at melde det? Erstatning på en million? Hvad er formålet hvis et firma her allerede har erkendt problemet?
Frataget retten til at bruge CPR til at få oplysninger?
mvh
http://www.prosa.dk/
"Forbundet af It-professionelle".
Jeg prøver at komme med min joke på en anden måde.
Hvem siger dem som kan blive medlem af alle betegnes som "IT-Pros". Lige hvad jeg hurtigt kan komme frem til kræver det ingen uddanelse. Dvs man kan være selv lært ... er man pro af den grund? :-)
mvh
Jeg forstår stadig ikke hvorfor det er muligt at bruge CPR-nummeret til noget som helst...
Vi blev undervist i at vi aldrig måtte tage et CPR nummer som en autencitet, da det blot er en identitet...
Det er meget vel at de bliver forsøgt hemmeligholdt, men det tager altså ikke særlig mange forsøg at finde det rigtig CPR nummer på en person, hvis blot man har hans fødselsdato...
Vi blev undervist i at vi aldrig måtte tage et CPR nummer som en autencitet, da det blot er en identitet...
Det er meget vel at de bliver forsøgt hemmeligholdt, men det tager altså ikke særlig mange forsøg at finde det rigtig CPR nummer på en person, hvis blot man har hans fødselsdato...
cyberdude (13) skrev:Er der tilfældigvis nogen der ved hvor denne liste kan anskaffes.
Jeg vil da meget gerne vide om jeg er med i den liste eller ej.
Jeg har fået den omtalte email bare uden Excel dokumentet.
Hvis jeg ikke har fået excel dokumentet, er jeg så ikke påvirket?
Skriv dit cpr-nr. her så skal jeg lige tjekke for dig ;)
cyberdude (18) skrev:#17 ;)
090886-1337 ;)
^^ Fordi jeg er nice
Ja, du står sq øverst når jeg sorterer i stigende orden efter penisstørrelse (kolonne t).
cyberdude (20) skrev:#19
Ahh, det kan sgu ikke passe, fordi jeg indtaster aldrig min rigtig penisstørrelse når de beder om det. Jeg overdriver altid med 10cm......... Wait a minute!
De gør alle de andre åbenbart også :D... med mindre din er ZeroIndexed :D
cory (22) skrev:Kan man spærre sit CPR-nummer (sygesikringskort) ;-)
Hvorfor beslutter man ikke bare, at man ikke kan bruge CPR-nummeret til noget som helst, uden at man kan bevise, at man er den rigtige person. F.eks. vha. NEMID.
"I gamle dage" kunne man få et pas med ikke andet end sygesikrings bevis (dvs CPR), men eftersom at det gjorde at man kunne stjæle kortet og få et pas, men det har man lavet om. hvis man ikke har noget billede id så skal man stille op med 2 andre vidner som har billede id som kan "skrive under på" at du er "dig" ...
så reelt kan man ikke bruge CPR til noget, jo måske nogen steder .. men ikke til meget..
Dermed ikke sagdt at det er ikke en kæmpe fubar for Prosa..
Det er et alvorligt sikkerhedsbrud det her. Det er ikke noget, vi ser let på. Jeg forventer, vi får en næse for det her.Niels Berthelsen til Computerworld
Jeg brækker mig hver gang jeg ser udtrykket "en næse".
Det ville være på sin plads at supplere med en fyring til den som har ansvaret. Ikke nødvendigvis tumpen som har sendt mailen, men den leder som får løn for at tage ansvar for disse fortrolige data.
#23: Det er nok med en dåbsattest, som du kan få på kirkekontoret ved at vise dit sygesikringsbevis.
Du mener "X antal modulus-11 summe der i princippet er gyldige for den givne fødselsdato" - ikke "det rigtig[e] CPR nummer på en person".dprocs (16) skrev:Det er meget vel at de bliver forsøgt hemmeligholdt, men det tager altså ikke særlig mange forsøg at finde det rigtig CPR nummer på en person, hvis blot man har hans fødselsdato...
Det er da yderst uheldigt, men regner ikke med at nogle af de 1300 gider stjæle min identitet. Så skal de i hvert tilfælde stjæle min gæld hos kreditforeningen med ;)
Men det er da mystisk at de ikke har et mailsystem til at sende post med. Det virker mest som om de bare har flettet fra Excel i Outlook.
Det duer ikke. Køb et dedikeret program til sådan noget.
Men det er da mystisk at de ikke har et mailsystem til at sende post med. Det virker mest som om de bare har flettet fra Excel i Outlook.
Det duer ikke. Køb et dedikeret program til sådan noget.
Endnu et godt eksempel på hvorfor man skal holde private informationer for sig selv så godt man kan. Også selvom man ikke har noget at skjule som det på populært hedder. Man kan sku aldrig regne med hvordan folk behandler dem.
Nej du har et par tusinde muligheder hvis du kender kønnet og det fulde 4-cifret årstal, for selv om #29 referer til den gamle cpr-checksum, så er den ikke længere en gyldig måde at validere et cpr-nummer på.dprocs (16) skrev:Det er meget vel at de bliver forsøgt hemmeligholdt, men det tager altså ikke særlig mange forsøg at finde det rigtig CPR nummer på en person, hvis blot man har hans fødselsdato...
Så det eneste du kan bruge er at 7. og 8. ciffer fortæller noget om ens fødsels år (altså 6-8 ciffer fortæller hvilket års tal du er føt i, uden man skal gætte om vedkommende er over eller under 100 år gammel.) og at 10 ciffer fortæller noget om kønnet.
En fejl, ja. En stor fejl, ja. Det må ikke ske igen, nej. Men det er usmageligt at nogle mener Prosa personel skal fyres p.g.a. dette. De har lavet en fejl ja, men problemet er reelt den eller de personer der agter at udnytte fejlen. Det er *dem* man skal gå efter.
Efter min mening en træls tendens i samfundet der afspejler sig her i tråden. Bare sidde og svine folk til og kræve dem fyret fordi de har begået en fejl. Den person der så senere udnytter data til at begå kriminalitet er jo nærmest tilgivet og uden ansvar fordi han/hun fik data serveret på et sølvfad?
En "næse" fra data tilsynet er skam alvorligt og jeg er sikker på der bliver strammet kraftigt op på procedurerne hos Prosa herefter.
Og nej jeg arbejder ikke for Prosa...
Efter min mening en træls tendens i samfundet der afspejler sig her i tråden. Bare sidde og svine folk til og kræve dem fyret fordi de har begået en fejl. Den person der så senere udnytter data til at begå kriminalitet er jo nærmest tilgivet og uden ansvar fordi han/hun fik data serveret på et sølvfad?
En "næse" fra data tilsynet er skam alvorligt og jeg er sikker på der bliver strammet kraftigt op på procedurerne hos Prosa herefter.
Og nej jeg arbejder ikke for Prosa...
syska (10) skrev:Luk Prosa.
Ah, hva?
Det ville ramme ret mange, og vidst gøre mere skade end gavn. Jeg går ud fra du selv er medlem af Prosa når du kan udtale dig sådan... I så fald har du jo din ret til at melde dig ud og/eller skifte fagforening - Hvis du finder problemet i den størrelsesorden.
Jeg er dog enig i at der bør være en konsekvens for den ansvarlige, samt en intern konsekvens for den der konkret har lavet fejlen.
ITemplate (33) skrev:En fejl, ja. En stor fejl, ja. Det må ikke ske igen, nej. Men det er usmageligt at nogle mener Prosa personel skal fyres p.g.a. dette. De har lavet en fejl ja, men problemet er reelt den eller de personer der agter at udnytte fejlen. Det er *dem* man skal gå efter.
Efter min mening en træls tendens i samfundet der afspejler sig her i tråden. Bare sidde og svine folk til og kræve dem fyret fordi de har begået en fejl. Den person der så senere udnytter data til at begå kriminalitet er jo nærmest tilgivet og uden ansvar fordi han/hun fik data serveret på et sølvfad?
Sådan fungerer det jo ikke. Du er aaalt for pessimistisk. Og du glemmer det forhold at nogle kunne føle sig blottet.
Det er muligt at dem der udnytter oplysningerne også skal ha en straf - men det er en anden sag. Pointen her er jo at personlige oplysninger er lækket pga enorm sløvhed fra en HK'er (eller noget).
Selvfølgelig er der tale om en tendens men hvad dævlon skal man ellers forlange? Jeg sidder også med ret meget personfølsom data (patientjournaler og CPR) og vi snakker tit om hvordan vi undgår læk hvis fx computer bliver stjålet. Jeg bruger tit en time eller to med lige at støvsuge computeren for cpr og andet patientfølsom data som burde ligge på en server men som har sneget sig ned i en hurtig vending - efterhånden helt ned på cacheniveau.
Og hvis oplysninger alligevel ryger ud så skal man ihvertfald ikke sige jeg ikke forsøgte at undå det. Og det er hele forskellen. Prosa-personen har ikke været præventiv og tænkt sig om og derfor burde det koste en fyring.
KILLER_BEE (23) skrev:så reelt kan man ikke bruge CPR til noget, jo måske nogen steder .. men ikke til meget..
Nu er pas altså ikke det eneste problematiske. Fx. selv om jeg har mit pas og ingen andre har, så kunne mit liv blive temmeligt fucked up på mange måder, hvis min folkeregisteradresse bliver ændret.
Godt jeg skiftede fra HK/Samdata og Prosa for efterhånden flere år siden.... Fint at de havde kontorer i snart sagt hver en by, men jeg har aldrig været tryg ved deres "professionalisme".
Prosa har naturligvis skylden for denne læk, men de har ikke skylden for at CPR systemet er så usikkert som det er. Hvilket af de to problemer er det værste?
Jeg mener det største problem er at systemet bruger det samme nummer både som unik identifikation og til at bevise en identitet. Den nuværende sag er blot et symptom. Selvfølgelig er en læk som denne stadig et problem, men det ville have været et langt mindre problem, hvis de lækkede CPR numre ikke kunne bruges til identitetstyveri.
At CPR nummeret på den måde bruges til to forskellige formål kan sammenlignes med et system hvor man bruger den samme værdi som både brugernavn og password. Sådan et system er ikke særlig sikkert. Og der er jo ikke ret mange systemer der kræver at det password man vælger skal være identisk med brugernavnet, faktisk er ens brugernavn nok det valg af password som flest systemer nægter at tillade.
Et vigtigt princip når man designer et system der skal være sikkert er, at en hemmelighed der ikke umiddelbart kan ændres bør betragtes som et sikkerhedshul.
Jeg er ikke 100% sikker på hvem der formulerede det princip, men tilsyneladende var det Whitfield Diffie, som også er kendt for at have været med til at opfinde Diffie-Hellman algoritmen.
Jeg mener det største problem er at systemet bruger det samme nummer både som unik identifikation og til at bevise en identitet. Den nuværende sag er blot et symptom. Selvfølgelig er en læk som denne stadig et problem, men det ville have været et langt mindre problem, hvis de lækkede CPR numre ikke kunne bruges til identitetstyveri.
At CPR nummeret på den måde bruges til to forskellige formål kan sammenlignes med et system hvor man bruger den samme værdi som både brugernavn og password. Sådan et system er ikke særlig sikkert. Og der er jo ikke ret mange systemer der kræver at det password man vælger skal være identisk med brugernavnet, faktisk er ens brugernavn nok det valg af password som flest systemer nægter at tillade.
Et vigtigt princip når man designer et system der skal være sikkert er, at en hemmelighed der ikke umiddelbart kan ændres bør betragtes som et sikkerhedshul.
Jeg er ikke 100% sikker på hvem der formulerede det princip, men tilsyneladende var det Whitfield Diffie, som også er kendt for at have været med til at opfinde Diffie-Hellman algoritmen.
Pointen er vel at Prosa VÆLGER at bruge CPR-nummer til det samme, normalt bruger man i IT-systemer et CPR-nummer til at validere op mod CPR-registeret med, og så får man et id-nummer retur, som CPR registret så har logget som værende et match til det forspurgte CPR-nummer for den givne virksomhed.kasperd (38) skrev:At CPR nummeret på den måde bruges til to forskellige formål kan sammenlignes med et system hvor man bruger den samme værdi som både brugernavn og password.
dvs. hvis man forspørger fra Prosa på fx mit cprnummer, får man et id retur, som Prosa fremover kan bruge til at spørge om adresse ændringer, o.l. på, og som CPR registreret ved skal oversættes til mit CPR nummer.
På denne måde kender Prosa kun mit cpr nummer i forbindelse med oprettelse af min bruger, hvorefter de ikke længere har noget at bruge mit cpr-nummer til.
Det ville nok kunne reducere antallet af steder man havde brug for at lagre CPR numre. Men jeg tror stadig at personer der har interesse i at foretage identitetstyveri nemt ville kunne få fat på et CPR nummer.Saxov (39) skrev:hvis man forspørger fra Prosa på fx mit cprnummer, får man et id retur, som Prosa fremover kan bruge til at spørge om adresse ændringer, o.l. på, og som CPR registreret ved skal oversættes til mit CPR nummer.
Der er sikkert lovkrav som betyder at Prosa er nødt til at få medlemmernes personnumre. Jeg ved ikke om alle disse krav kan opfyldes med det system som du skitserer.
Man burde have en ekstra verifikationskode, som kun personen selv og de få offentlige instanser som har brug for det kender, og som frem for alt kan ændres hvis der har været en læk.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund