*

Indland

Dit cpr-nummer er nemt at gætte

Eksperter forklarer her, hvordan man let kan udregne andres cpr-numre, som er nøglen til identitetstyveri. »Rystende« og »bekymrende,« siger politikere fra både regeringspartierne og oppositionen, der vil kigge nærmere på mulige løsninger.

Tegning: Rasmus Sand Høyer

Man behøver hverken at få stjålet sin pung eller letsindigt at have oplyst sit cpr-nummer for at blive udsat for identitetstyveri. Cpr-nummeret er nemlig slet ikke så hemmeligt, som mange går og tror.

Faktisk er der kun 270 gyldige cpr-numre til hver fødselsdag og køn, oplyser Det Centrale Personregister. Og de 270 gyldige cpr-numre kan man let finde frem til, siger bl.a. Peter Nørregaard, datalog og chefkonsulent hos Rambøll Management Consulting.

Navn og fødselsdato på offeret kan findes på f.eks. Facebook, og så er man det første skridt.

Nemme veje til cpr-numre


Der er forholdsvis simple matematiske regler for cpr-nummeret, og derfor har Peter Nørregaard på under en time opstillet en formel i databehandlingsprogrammet Excel, som kan finde de gyldige sidste fire cifre i cpr-numre.

Man behøver dog ikke have større matematiske kundskaber for at kunne opstille regnestykket. I datalogi på hf-niveau bliver der bygget såkaldte cpr-generatorer, og allerede i folkeskolen lærer eleverne at regne ud, om et cpr-nummer et gyldigt eller ej. Hvis man ikke selv vil hive lommeregneren frem, kan man også blot finde en frit tilgængelig cpr-generator på nettet.

Pletskud efter 40 gæt

At der kun er 270 gyldige cpr-numre, selv om fire tal giver 10.000 kombinationsmuligheder, skyldes, at de fire sidste cifre dels har et indbygget kontrolciffer, og at mulighederne for gyldige løbenumre begrænses, da tallene også viser, køn og hvilket århundrede, personen er fra. På den måde bliver de 10.000 mulige løbenumre til 270 gyldige for hver fødselsdato.

»Dit cpr-nummer er mindre hemmeligt end din skostørrelse, fordi du på nettet kan tjekke, om cpr-nummeret et det rette ved at sammenholde det med navn og adresse på kommercielle hjemmesider som tilbyder cpr-validering. Online fra lænestolen kan en identitetstyv altså tjekke, om det er det rette cpr-nummer - men man kan ingen steder få bekræftet, hvilken skostørrelse en person har,« forklarer Peter Nørregaard.

Da der typisk fødes omkring 80 drenge og 80 piger dagligt, og cpr-numrene tildeles i rækkefølge, skal man som hovedregel kun igennem de første gyldige cpr-numre på listen for at finde det korrekte cpr-nummer.

»I gennemsnit vil man kunne gætte cpr-nummeret efter 40 gæt. Og i modsætningen til en pinkode til dankort bliver cpr-nummeret ikke spærret efter en række forsøg. Identitetstyven vil altså kunne fortsætte, indtil han har det rette. Den målrettede identitetstyv vil kunne finde dit cpr-nummer på maksimum et par timer. De sidste fire cifre er slet ikke så sikre, som mange tror,« siger Peter Nørregaard.

Hacker: Gennemhullet system

I en anonym henvendelse, som Morgenavisen Jyllands-Posten har modtaget, forklarer hackeren Brian, at han har fundet cpr-numre med metoden på kun et kvarter.

Og når først man har det fulde navn og det rette cpr-nummer, kan identitetstyveriet gå i gang, forklarer Brian. På kirkekontoret kan man med den rette historie få udleveret en fødselsattest, på postkontoret kan man få videresendt ofrets post og på Borgerservice bestille nyt sundhedskort, forklarer Brian.

"Ukritisk tillid" på nettet

Han nævner også, at man kan rode offerets skrald igennem for flere personfølsomme oplysninger. Ifølge hans eget udsagn har han ikke selv brugt metoderne til at begå berigelseskriminalitet. Brian begrunder sin henvendelse med, at han vil gøre opmærksom på, hvor let det er at begå identitetstyveri.

»Det er i allerhøjeste grad på tide, at man ser på, hvor gennemhullet hele cpr-systemet er. Det er ikke skabt til en tid med internet. I dag, hvor alting skal kunne gøres nemt og bekvemt hjemme fra stuen, har man også foræret de kriminelle en række værktøjer. Kombineret med folk, der deler deres oplysninger i flæng på sociale medier og udviser nærmest ukritisk tillid til hinanden, har det undermineret cpr-systemet som en måde til entydig identifikation.«

Det sorte cpr-marked

It-sikkerhedsekspert Peter Kruse fra CSIS Security Group, der har forsket i identitetstyveri, gør opmærksom på, at der er masser af komplette cpr-numre at finde alene ved simpel Google-søgning. CSIS får hver måned flere henvendelser fra ofre for identitetstyveri, selv om firmaet ikke hjælper privatpersoner.

»Jeg har mange gange oplevet, at ofrene ikke forstår, hvor tyven har deres cpr-nummer fra. Men der findes et sort marked, hvor personfølsomme oplysninger, inkl. cpr-numre, bliver solgt til 2 kr. pr. styk,« siger Peter Kruse.

Han bekræfter de metoder, som Peter Nørregaard og den anonyme hacker beskriver.

»Jeg ved, at det er nøjagtig den måde, de kriminelle arbejder på. Alene med navn og cpr-nummer kan man gå i gang. De får fat i nye fødselsattester og sundhedskort, de bestiller benzinkort og betalingskort og en lang række andre ting for at opnå økonomisk vinding. Kun fantasien sætter grænser,« siger Peter Kruse.

Rystede politikere

Også Datatilsynet får henvendelser fra ofre for identitetstyveri, der ikke forstår, hvordan de har ”mistet” deres cpr-nummer:

»Datatilsynet får en del henvendelser både skriftligt og telefonisk fra borgere, der har været udsat for identitetstyveri. Og det drejer sig næsten altid om, at id-tyven på en eller anden måde har fundet frem til ofrets cpr-nummer,« siger Lene Kragelund, chefkonsulent i Datatilsynet.

Forbrugerrådet tror, at det vil komme bag på fleste forbrugere, at det kan være så simpelt at finde andres personnummer.

Det kommer også bag på de politiske ordfører, der til dagligt beskæftiger sig med it- og teleområdet. Dansk Folkepartis it-ordfører, Dennis Flydtkjær, der er uddannet datamatiker, kalder det »rystende«.

»Jeg er noget overrasket over, at det kan være så let. Vi har i forvejen været opmærksomme på identitetstyveri, og vi har også tidligere foreslået, at der skulle billede på sygesikringskortet. Men det fremgår ret tydeligt her, at det ikke vil være nok,« siger Dennis Flydtkjær, der bakkes op af it- og teleordfører i Venstre, Michael Aastrup Jensen.

»For at sige det lige ud er jeg nervøs for, om sikkerheden er god nok. Dette bekræfter i høj grad, at vi har brug for en opgradering af sikkerheden,« siger han.

Sikkerhed skal forbedres

Også blandt regeringspartierne vækker it-eksperternes beskrivelse af sikkerheden opsigt. I SF mener it-ordfører Annette Vilhelmsen, at man skal kigge nærmere på problematikken.

»Vi kan ikke gå på kompromis med borgernes retssikkerhed, og derfor lyder det bekymrende. Hvis der findes løsninger, der er mere sikre, skal vi på udkig efter dem,« siger SF's it-ordfører.

Hackeren Brians efternavn er redaktionen bekendt

TEMA: IDENTITETSTYVERI

null
Følg
Jyllands-Posten
Annonce
Annonce
Forsiden lige nu
Annonce
Annonce
Indland
Annonce
Søg i vejviseren
Annonce
Kun en time fra Madrid: Hotel med værelser hugget ind i 1.000 år gammel fæstningsmur
I Buitrago får man ufriseret natur, stilhed og fravær af masseturisme. Man kan vandre på en tusind år gammel fæstningsmur, tage bad inde i muren og få historien om Picassos barber. 
Se flere

Jyllands-Posten anvender cookies til at huske dine indstillinger, statistik og målrette annoncer. Når du fortsætter med at bruge websitet, accepterer du samtidig brugen af cookies. Læs mere om vores brug her