Ekspert om kæmpe CPR-læk: Det er forfærdeligt

Foto: Scanpix

En fejl på CPR-kontoret under Økonomi- og Indenrigsministeriet har betydet, at der onsdag blev lagt over 900.000 danske CPR-numre ud på nettet. Det er fra den såkaldte Robinsonliste, der er en oversigt over danskere, der ikke ønsker adresserede reklamer, direct mails, i deres postkasser. Det skriver Børsen.dk.

Lækagen blev opdaget af Finn Gilling, der har arbejdet med personfølsomme data gennem 12 år.

- Vi reagerer med det samme, og skriver til CPR-kontoret, at der er kommet cpr-numre på listen. Vi fik først kl. 19.29 svar fra CPR-kontoret om, at listen var taget ned. Min opfattelser er, at det danske cpr-nummer-system er så kompromitteret, at cpr-nummeret alene ikke mere bør kunne benyttes til nogen former for online-transaktioner, siger Finn Gilling ifølge Børsen.dk.

Og sikkerhedsekspert Mikael Vingaard fra selskabet Sec4IT er chokeret over udfaldet.

- Det er forfærdeligt og må absolut ikke ske. Meget tyder på, at der er tale om en menneskelig fejl. Jeg har den dybeste sympati for de involverede mennesker, der muligvis står bag denne fejl. Men for en organisation som den, så MÅ det bare ikke ske, fastslår han.

Det er som bekendt langt fra første gang, at CPR-numre bliver lækket, og Mikael Vingaard er da også meget klar i mælet om hvilken konsekvens dette må have.

- Den samlede mængde af fejl er en 'eye opener'. Vi kan ikke længere bruge CPR-nummeret som en sikkerhedsforanstaltning. Man skulle i stedet fokusere på at danskerne kunne få en såkaldt privat nøgle, som man selv havde kontrol over. En nøgle til at logge sig ind på diverse tjenester. I stedet kunne CPR-nummeret blot være det personlige identifikations-nummer, foreslår han.

Opdateret kl 11.08

Børsen.dk har snakket med Carsten Grage, der er kontorchef på CPR-kontoret. Og han slår fast, at der er sket en fejl på en server hos CSC. Listen har været tilgængelig i 50 minutter inden CPR-kontoret fik fjernet den igen. I dette tidsrum har 18 firmaer nået at indhente informationerne.