Sitemap | Avanceret søgning |

Din skostørrelse er mere hemmelig end dit cpr-nummer

Mange tror, at cpr-nummeret er sikkert og hemmeligt. Eksperter forklarer her, hvordan man let kan udregne andres cpr-numre, som er nøglen til identitetstyveri .

»Rystende« og »bekymrende,« siger politikere fra både regeringspartierne og oppositionen, der vil kigge nærmere på mulige løsninger.

Af KARINA O. DAHLGAARD og JONAS HØY BRUUN
Publiceret 16-07-2012

Man behøver hverken at få stjålet sin pung eller letsindigt at have oplyst sit cpr-nummer for at blive udsat for identitetstyveri. Cpr-nummeret er nemlig slet ikke så hemmeligt, som mange går og tror. Faktisk er der kun 270 gyldige cpr-numre til hver fødselsdag og køn, oplyser Det Centrale Personregister.

Og de 270 gyldige cpr-numre kan man let finde frem til, siger bl.a. Peter Nørregaard, datalog og chefkonsulent hos Rambøll Management Consulting.

Navn og fødselsdato på offeret kan findes på f.eks. Facebook, og så er man det første skridt.

Der er forholdsvis simple matematiske regler for cpr-nummeret, og derfor har Peter Nørregaard på under en time opstillet en formel i databehandlingsprogrammet Excel, som kan finde de gyldige sidste fire cifre i cpr-numre.

Man behøver dog ikke have større matematiske kundskaber for at kunne opstille regnestykket. I datalogi på hf-niveau bliver der bygget såkaldte cpr-generatorer, og allerede i folkeskolen lærer eleverne at regne ud, om et cpr-nummer et gyldigt eller ej. Hvis man ikke selv vil hive lommeregneren frem, kan man også blot finde en frit tilgængelig cpr-generator på nettet.

Pletskud efter 40 gæt
At der kun er 270 gyldige cprnumre, selv om fire tal giver 10.000 kombinationsmuligheder, skyldes, at de fire sidste cifre dels har et indbygget kontrolciffer, og at mulighederne for gyldige løbenumre begrænses, da tallene også viser, køn og hvilket århundrede, personen er fra. På den måde bliver de 10.000 mulige løbenumre til 270 gyldige for hver fødselsdato.

»Dit cpr-nummer er mindre hemmeligt end din skostørrelse, fordi du på nettet kan tjekke, om cpr-nummeret et det rette ved at sammenholde det med navn og adresse på kommercielle hjemmesider som tilbyder cpr-validering. Online fra lænestolen kan en identitetstyv altså tjekke, om det er det rette cpr-nummer - men man kan ingen steder få bekræftet, hvilken skostørrelse en person har,« forklarer Peter Nørregaard.

Da der typisk fødes omkring 80 drenge og 80 piger dagligt, og cpr-numrene tildeles i rækkefølge, skal man som hovedregel kun igennem de første gyldige cpr-numre på listen for at finde det korrekte cpr-nummer.

»I gennemsnit vil man kunne gætte cpr-nummeret efter 40 gæt. Og i modsætningen til en pinkode til dankort bliver cpr-nummeret ikke spærret efter en række forsøg. Identitetstyven vil altså kunne fortsætte, indtil han har det rette. Den målrettede identitetstyv vil kunne finde dit cpr-nummer på maksimum et par timer. De sidste fire cifre er slet ikke så sikre, som mange tror,« siger Peter Nørregaard.

Gennemhullet system
I en anonym henvendelse, som Morgenavisen Jyllands-Posten har modtaget, forklarer hackeren Brian, at han har fundet cpr-numre med metoden på kun et kvarter.

Og når først man har det fulde navn og det rette cprnummer, kan identitetstyveriet gå i gang, forklarer Brian. På kirkekontoret kan man med den rette historie få udleveret en fødselsattest, på postkontoret kan man få videresendt ofrets post og på Borgerservice bestille nyt sundhedskort, forklarer Brian. Han nævner også, at man kan rode offerets skrald igennem for flere personfølsomme oplysninger. Ifølge hans eget udsagn har han ikke selv brugt metoderne til at begå berigelseskriminalitet.

Brian begrunder sin henvendelse med, at han vil gøre opmærksom på, hvor let det er at begå identitetstyveri.

»Det er i allerhøjeste grad på tide, at man ser på, hvor gennemhullet hele cpr-systemet er. Det er ikke skabt til en tid med internet. I dag, hvor alting skal kunne gøres nemt og bekvemt hjemme fra stuen, har man også foræret de kriminelle en række værktøjer. Kombineret med folk, der deler deres oplysninger i flæng på sociale medier og udviser nærmest ukritisk tillid til hinanden, har det undermineret cpr-systemet som en måde til entydig identifikation.«

Det sorte cpr-marked
It-sikkerhedsekspert Peter Kruse fra CSIS Security Group, der har forsket i identitetstyveri, gør opmærksom på, at der er masser af komplette cpr-numre at finde alene ved simpel Googlesøgning.

CSIS får hver måned flere henvendelser fra ofre for identitetstyveri , selv om firmaet ikke hjælper privatpersoner.

»Jeg har mange gange oplevet, at ofrene ikke forstår, hvor tyven har deres cpr-nummer fra. Men der findes et sort marked, hvor personfølsomme oplysninger, inkl. cpr-numre, bliver solgt til 2 kr. pr. styk,« siger Peter Kruse.

Han bekræfter de metoder, som Peter Nørregaard og den anonyme hacker beskriver.

»Jeg ved, at det er nøjagtig den måde, de kriminelle arbejder på. Alene med navn og cpr-nummer kan man gå i gang. De får fat i nye fødselsattester og sundhedskort, de bestiller benzinkort og betalingskort og en lang række andre ting for at opnå økonomisk vinding. Kun fantasien sætter grænser,« siger Peter Kruse.

Rystede politikere
Også Datatilsynet får henvendelser fra ofre for identitetstyveri, der ikke forstår, hvordan de har "mistet" deres cpr-nummer:

»Datatilsynet får en del henvendelser både skriftligt og telefonisk fra borgere, der har været udsat for identitetstyveri. Og det drejer sig næsten altid om, at id-tyven på en eller anden måde har fundet frem til ofrets cprnummer,« siger Lene Kragelund, chefkonsulent i Datatilsynet.

Forbrugerrådet tror, at det vil komme bag på fleste forbrugere, at det kan være så simpelt at finde andres personnummer.

Det kommer også bag på de politiske ordfører, der til dagligt beskæftiger sig med it- og teleområdet. Dansk Folkepartis it-ordfører, Dennis Flydtkjær, der er uddannet datamatiker, kalder det »rystende«.

»Jeg er noget overrasket over, at det kan være så let. Vi har i forvejen været opmærksomme på identitetstyveri , og vi har også tidligere foreslået, at der skulle billede på sygesikringskortet.

Men det fremgår ret tydeligt her, at det ikke vil være nok,« siger Dennis Flydtkjær, der bakkes op af it- og teleordfører i Venstre, Michael Aastrup Jensen.

»For at sige det lige ud er jeg nervøs for, om sikkerheden er god nok. Dette bekræfter i høj grad, at vi har brug for en opgradering af sikkerheden,« siger han.

Sikkerhed skal forbedres
Også blandt regeringspartierne vækker it-eksperternes beskrivelse af sikkerheden opsigt. I SF mener itordfører Annette Vilhelmsen, at man skal kigge nærmere på problematikken.

»Vi kan ikke gå på kompromis med borgernes retssikkerhed, og derfor lyder det bekymrende. Hvis der findes løsninger, der er mere sikre, skal vi på udkig efter dem,« siger SF's itordfører.

Hackeren Brians efternavn er redaktionen bekendt.

Copyright: Morgenavisen Jyllands-Posten

MISBRUG
Identitetstyveri

Danmarks Statistik foretog i 2009 en offerundersøgelse, hvor der blev spurgt til identitetstyveri.

Af 1.853 adspurgte havde 20 personer inden for det seneste år oplevet identitetstyveri , svarende til 1,08 pct. Det svarer til, at 47.850 personer årligt udsættes for identitetstyveri  i Danmark.

Da opgørelsen er baseret på en stikprøve, medfører dette en vis statistisk usikkerhed.

Men det fastslås, at antallet af ofre for identitetstyveri  i Danmark med 95 pct.' s sikkerhed ligger mellem 27.000 og 69.000 personer årligt.

PERSONLIGE TAL
Cpr-nummeret

Mange identitetstyverier bliver udført ved hjælp af et cpr-nummer.

Cpr-systemet blev oprettet den 2. april 1968, da alle, der var tilmeldt folkeregisteret, fik tildelt et personnummer.

Nummeret vil altid følge en og kan aldrig blive genbrugt af en anden person.

Personnummeret består af 10 tal: Tal nummer 1 og 2 angiver fødselsdag, 3 og 4 fødselsmåned og 5 og 6 fødselsår uden århundrede. De fire sidste cifre er løbe-og kontrolnumre.

Det 10. og sidste ciffer angiver køn. Mænd tildeles ulige personnumre, kvinder lige.

Man kan kun få ændret sit personnummer, hvis der er fejl i det i form af forkert fødselsdato eller forkert angivelse af køn.

Siden indførelsen er der i alt tildelt 9.156.872 personnumre, hvoraf 5.624.302 er aktive.

Kilde: Det Centrale Personregister.

Hvis du vil vide mere
'