bulgarien skatte system hacket hele landet 5 7 millioner personer data / Newz.dk

Pixabay

Forsikringsselskab lækker CPR-oplysninger

- , indsendt af arne_v

En sikkerhedsfejl ved forsikringsselskabet IF gjorde det muligt at opsamle oplysninger om CPR-numre

En ph.d studerende opdagerede en fejl på IF’s hjemmeside, der gjorde det muligt at trække data ud fra forsikringsselskabets interne CPR-register.

Udtrækket af data skete på virksomhedens tilbudsside, hvor brugeren kan indtaste sit CPR-nummer.

Ud fra beskrivelsen af problemet, lod det til at IF’s hjemmeside, validerede både brugerens CPR-nummer og sammenholdte det med den indtastede adresse.

Problemet er her, at man via bruteforce, i princippet kan udtrække alle CPR-nummer samt adresserne der hører til.

IF melder at fejlen er rettet via en captcha – og at de ikke har meldt sagen til datatilsynet.

Det er dog stadig muligt at validere om et vilkårligt nummer er et validt CPR-nummer via IF’s hjemmeside.





Gå til bund
Gravatar #1 - dugfrisk
30. apr. 2020 04:15
Så. Fejl i besser quizzerne igen?
Gravatar #2 - dugfrisk
30. apr. 2020 05:30
Bliver den p HD studerende så dømt ligesom anakata. Hvad blev der af Aalborg knejten?
Gravatar #3 - CBM
30. apr. 2020 05:36
Er alle ikke i stand til at validere om et CPR nummer er gyldigt ved at bruge en simpel funktion?

En hurtig søgning giver resultater som ikke blot viser hvordan nummeret er bygget op men også hvordan det valideres

Jeg har skrevet mange validatorer som kunne smide resultatet ud med information om personens alder, fødselsdato og køn

Jeg har også skrevet software som interfacer med familie+, som kan, givet et CPR nummer, aflevere mange oplysninger om den angivne person

Dog er der noget med at man er løbet tør og nu benytter numre som ikke overholder de gamle regler?

Menes der om CPR nummeret er i brug OG gyldigt?

Men det er der vel også mange andre muligheder for at validere online?

Derudover (burde) CPR numre ikke være mere hemmelige end en adresse

Gravatar #4 - compax
30. apr. 2020 06:50
#3 ja, man kan godt trække køn, alder og diverse ting ud fra cpr og det kan man stadig, man skal bare lige kende reglerne, som er nemt at finde via google(ligger på wikipedia), for hvis en person har et cpr der hedder 1111111111, er vedkomne så født i 1911 eller i 2011, sådan nogle ting skal man lige tage højde for. derudover skal man tage højde for hvis nu en person har et erstatnings CPR dvs at de 4 sidste numre er delvist erstattet af bogstaver, her gælder ovenstående regler ikke.
Gravatar #5 - Lothrandir
30. apr. 2020 07:40
https://jyllands-posten.dk/indland/ECE4624115/dit-...

Så hvis man har en persons adresse (nok rimeligt nemt på de fleste danskere), kan man få verificeret sit cpr. nr.-gætteri inden man begynder identitets tyveriet. Det er da en ok smart service.

Det er på høje tid at alle cpr-numre bliver offentliggjort på danske-borgere.dk. Så er cpr. nr. lige så hemmeligt som en adresse og dermed burde alle vide at kendskab til et cpr. nr. ikke siger noget som helst om at man faktisk er den person.

#3 Der er forskel på at verifirere at et cpr-nr er validt og validere at cpr-numret er i brug og hvem det tilhører. Hvis du også har navn, adresse og tlf. nr. sammen med cpr. nr. vil folk begynde at tro på at du er denne person. Det er denne tanke der skal gøres op med. For hvis du har navn, adresse og tlf. nr. er der ingen der tænker du nødvendigvis er denne person.



Gravatar #6 - arne_v
30. apr. 2020 14:45
Der bør informeres bredt om at kendskab til CPR nummer ikke beviser at man er den man er.

Men der er altså også et IT system problem ved at brute force gæt ikke trigger alarm eller blokering.
Gravatar #7 - CBM
30. apr. 2020 17:33
compax (4) skrev:
#3 ja, man kan godt trække køn, alder og diverse ting ud fra cpr og det kan man stadig, man skal bare lige kende reglerne, som er nemt at finde via google(ligger på wikipedia), for hvis en person har et cpr der hedder 1111111111, er vedkomne så født i 1911 eller i 2011, sådan nogle ting skal man lige tage højde for. derudover skal man tage højde for hvis nu en person har et erstatnings CPR dvs at de 4 sidste numre er delvist erstattet af bogstaver, her gælder ovenstående regler ikke.

Min metode til at tage højde for 19xx og 20xx:

Hvis de sidste to cifre i det aktuelle årstal er det samme eller større end de to sidste cifre i CPR nummeret så er der tale om et fødsels årstal der skal prefixes med de 2 første cifre i det nuværende årstal ellers skal der prefixes med de 2 første cifre i det nuværende årstal minus 1

Det er fordi et aktuelt CPR nummer aldrig vil indeholde et tal som indeholder en person med en fødselsdato i fremtiden og fordi det er sjældent personer er 100+

Hvis man vil kan man så tjekke øvrige ting udover CPR nummer for at finde ud af om det er en person på 1 år eller 101 år
Gravatar #8 - arne_v
30. apr. 2020 17:46
#7

Det plejer at være sådan at det 7. tal kan bruges til at bestemme århundrede med.
Gravatar #9 - CBM
30. apr. 2020 17:54
arne_v (8) skrev:
#7

Det plejer at være sådan at det 7. tal kan bruges til at bestemme århundrede med.

Har du et eksempel med et fiktivt CPR nummer?
Gravatar #10 - arne_v
30. apr. 2020 18:02
#9

Kode:


// calculate century
private int century() {
switch (numericValue(number.charAt(7))) {
case 0 :
case 1 :
case 2 :
case 3 :
return 1900;
case 4 :
case 9 :
if (yy() < 37)
return 2000;
else
return 1900;
case 5 :
case 6 :
case 7 :
case 8 :
if (yy() < 37)
return 2000;
else if (yy() > 57)
return 1800;
else
return 0;
default :
return 0;
}
}


Koden er 20 år gammel.
Gravatar #11 - CBM
30. apr. 2020 18:59
arne_v (10) skrev:
#9

Kode:


// calculate century
private int century() {
switch (numericValue(number.charAt(7))) {
case 0 :
case 1 :
case 2 :
case 3 :
return 1900;
case 4 :
case 9 :
if (yy() < 37)
return 2000;
else
return 1900;
case 5 :
case 6 :
case 7 :
case 8 :
if (yy() < 37)
return 2000;
else if (yy() > 57)
return 1800;
else
return 0;
default :
return 0;
}
}


Koden er 20 år gammel.


Det kan ikke vare længe før det ikke længere er nødvendigt at returnere 1800
Gravatar #12 - arne_v
30. apr. 2020 19:05
#11

Ja. Det er muligt at de har flyttet flere ranges til 2000 siden dengang.
Gravatar #13 - arne_v
30. apr. 2020 19:06
#12

Men https://da.wikipedia.org/wiki/CPR-nummer#Under_ell... har stadig de samme intervaller.
Gravatar #14 - CBM
1. maj 2020 03:10
arne_v (13) skrev:
#12

Men https://da.wikipedia.org/wiki/CPR-nummer#Under_ell... har stadig de samme intervaller.

Okay.

Well godt at vide hvis jeg får brug for at lave mere kode som beskæftiger sig med CPR numre
Gravatar #15 - Sn3akr
12. maj 2020 15:10
"IF melder at fejlen er rettet via en captcha – og at de ikke har meldt sagen til datatilsynet."

Hvorfor skulle de da også det.. Så risikerer de jo bare at skulle af med penge.. Det er de ikke for glade for i forvejen.. Husker tydelig et indbrud jeg havde tilbage i 2007.. Alt smadret/væk, så måtte ringe for at få tilsendt en skadesanmeldelse.. En uge senere fik jeg så et brev om, at pga for mange skader havde de opsagt mine forsikringer! Røvhuller. Havde haft EN skade.. Og det var modpartens skyld! Men de de gør alt for kun at modtage penge.. Ren svindelbule
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login