Kriminelle har truet teleselskabet 3 med at med offentliggøre kunders personlige data.

Kriminelle har truet teleselskabet 3 med at med offentliggøre kunders personlige data.

Danmark

Eksperter: CPR-numre er ikke et direkte link til personfølsomme oplysninger

Kunder hos teleselskabet 3 skal ikke bekymre sig. Det vurderer ekspert, efter at teleselskabet i dag har været udsat for trusler fra kriminelle, der vil offentliggøre personlige oplysninger fra 3600 kunder.

Danmark

Teleselskabet 3's kunder bør ikke være stærkt bekymrede, hvis deres navn, adresse eller personnummer offentliggøres.

Sådan beroliger formand for Rådet for Digital Sikkerhed, Rasmus Theede, 3's kunder, efter at kriminelle har truet selskabet med at med offentliggøre kundernes personlige data.

»Fordi det 'kun' er CPR-numre og adressedata, der er stjålet, er det ikke en kæmpe risiko for 3's kunder. Jeg ville være nervøs, hvis det var kreditkortoplysninger eller følsomme personoplysninger, der var blevet stjålet. Så var det oplysninger, der virkelig kunne gå ud over forbrugeren«, siger han.

Ifølge teleselskabet 3 inkluderer de lækkede oplysninger navn, adresse, cpr-nummer, e-mail, telefonnummer, sim-kortnummer, abonnement og betalingsmetode fra omkring 3.600 personer. Afpresserne har hverken pin-koder eller bankoplysninger.

Personfølsomme oplysninger

CPR-numre giver ikke adgang til personfølsomme oplysninger, fastslår Henrik Larsen, der er chef for DK CERT - en offentlig, dansk sikkerhedsenhed.

»CPR-numre kan ikke bruges som nøgle uden koder eller Nem-Id«, siger han.

Der skal altså en form for kode eller nøgle til, før det bliver muligt at bruge CPR-numrene til svindel af alvorlig grad.

Til et CPR-nummer knytter sig ganske vist en lang række personlige oplysninger som navn, adresse, statsborgerskab, eventuel stilling og civilstand. Tilknyttet nummeret er også en række personfølsomme oplysninger. Det er blandt andet oplysninger om sundhed, økonomiske forhold, straffeforhold og seksuel orientering, men disse data er ikke tilgængelige med cpr-nummeret alene.

Et CPR-nummer er blot et fortroligt løbenummer, der kan bruges til at genkende os i store databaser og registre. Og et læk af navn og CPR-nummer udgør altså i sig selv ikke en stor risiko:

»Hvis man virkelig skal have noget ud af det økonomisk, så skal man altså have mere end bare et navn og et CPR-nummer«, tilføjer Henrik Larsen, der dog også har stor forståelse for den bekymring et læk af personlige oplysninger kan give hos kunderne.

Identitetstyveri

I få tilfælde kan CPR-oplysninger nemligbruges til identitetstyveri.

Her bliver de personlige oplysninger misbrugt til at købe ting eller chikanere ejeren på forskellig vis.

»Der findes få steder, hvor man stadig kan handle gennem fakturaer, der bliver sendt til ejeren af CPR-nummeret«, siger han.

Men langt det fleste steder skal mere til.

»De fleste steder skal man vise billedlegitimation, som godtgør, at man er den, man udgiver sig for at være - og på netbutikkerne vil de oftest have betaling med det samme«, siger Henrik Larsen.

Flere sager de seneste år

Det er ikke første gang, at televirksomheder har haft læk af kundedata. I november sidste år kom det frem, at kriminelle havde fået adgang til data fra mere end 133.000 af britiske Three Mobiles kunder. Angiveligt for at svindle sig til nye telefoner.

Henrik Larsen fra DK CERT forklarer, at der har været flere sager af mere eller mindre alvorlig grad de senere år, hvor en stor mængde CPR-numre er blevet lækket.

Annonce

Artiklen fortsætter efter annoncen

Annonce

Fra april til august 2012 havde hackere adgang til fortrolige systemer hos CSC. Flere af politiets databaser blev hacket, og et stort antal filer blev downloadet af hackerne.

»Der er mange af os, der står der med navn, adresse, CPR-nummer og hvilken bil, vi har kørekort til«, forklarer Henrik Larsen.

Han peger på datalækket sidste år, hvor sundhedsdata på 5.282.616 personer, der har boet i Danmark mellem 2010 og 2012, blev lækket. Det var i februar, da data fra Statens Serum Institut (SSI) ved en fejl blev sendt med brev og åbnet af en medarbejder i en kinesisk statsejet virksomhed i København. Her var det ikke kun personlige oplysninger, der blev lækket - men altså også personfølsomme oplysninger.

»Sagen om den lækkede sundhedsdata var alvorlig, fordi den slags følsomme personoplysninger kan bruges til afpresning af folk, der eksempelvis har en sygdom, de ikke vil tale om, eller folk, der skjuler et alkoholmisbrug«, siger Henrik Larsen.

Afpresning af virksomheder

Læk af CPR-numre kan også give kriminelle mulighed for at afpresse virksomheder, som det er tilfældet hos 3.

Her truer de kriminelle virksomhederne på deres forbrugeres tillid.

»Vi ser flere og flere eksempler på hackere, der truer virksomheder på tilliden. En virksomhed som 3 lever af forbrugernes tillid, og det ved de her afpressere udmærket. Et læk af personlige oplysninger sætter forbrugeres tillid på prøve. Derfor håber de kriminelle på, at 3 reagerer ved at betale dem penge, fordi de er bange for deres renommé«, siger Rasmus Theede og tilføjer:

»Jeg er overrasket over, hvor aggressive og frække de kriminelle er i måden, de forsøger at presse penge ud af virksomheder på. Vi har også set eksempler på hackere, der har truet med at lægge systemer helt ned, hvis virksomhederne ikke betaler løsesum«.

3 har gjort det rigtige

Selv om sagen ikke lader til at få stor betydning for forbrugerne, har 3 i forbindelse med afpresningen udsendt en pressemeddelelse, hvor de advarer deres kunder.

Artiklen fortsætter efter annoncen

Annonce

Det mener Rasmus Theede, formand for Rådet for Digital Sikkerhed, er det helt rigtige at gøre.

»Det værste der kunne ske, var hvis informationen kom fra afpresserne. Det eneste rigtige i den her situation er at afmontere situationen med det samme og informere dem, det går ud over, så de kan tage deres forholdsregler« siger han.

Rettelse: Det fremgik tidligere, at teleselskabet 3 havde oplevet læk af kundedata fra mere end 133.000 kunder tilbage i november. Det er forkert. Det var det britiske teleselskab Three Mobiles kundedata, som kriminelle havde fået adgang til.

Redaktionen anbefaler:

Læs mere:

Annonce

For abonnenter

Annonce

Podcasts

Forsiden