Berlingske Business

Tinglysning opruster med NemID for at beskytte mod CPR-hack

Tinglysning.dk
For at forbedre sikkerheden, kræver Tinglysning.dk nu, at brugere skal være koblet på med NemID for at kunne oprette en digital fuldmagt. Foto:

Et enkelt sted er det dog i princippet stadig muligt at gætte nogle borgeres CPR-numre. Og det bliver ikke lavet om, lyder det fra retspræsidenten for tinglysningsretten.

For at forbedre sikkerheden, kræver hjemmesiden for den digitale tinglysning nu, at brugere skal være koblet på med NemID for at kunne oprette en digital fuldmagt. Sådan var det ikke for en uge siden. Dermed var det muligt alene ud fra en fødselsdato af generere og afprøve et begrænset antal personnummer-kandidater i kombination med et navn for derved at finde frem til en persons rigtige personnummer.

Det skriver Version2.dk

Tiltaget med at kræve, at brugere først logger på med digital signatur eller NemID (begge dele er muligt) sker som reaktion på den seneste tids sager, hvor det er kommet frem, at tinglysning.dk kan misbruges af uvedkommende til at finde folks cpr-numre efter førnævnte fremgangsmåde.

»Vi begrænsede den nemme adgang, der var til at bruge en fuldmagt, og det er da med beklagelse, vi må gøre det. Men når der er nogen, der misbruger vores system til noget, det ikke er tiltænkt, så må vi jo se, om vi kan gøre noget for at begrænse det misbrug,« siger retspræsident for tinglysningsretten Søren Sørup Hansen.

En lille test Version2 har foretaget viser dog, at det stadig er muligt, at gætte løs på cpr-numre, når der først er logget ind på tinglysning.dk med NemID. Og på den måde få systemet til at afsløre, når den rigtige kombination af cpr-nummer og navn bliver indtastet.

»Det er jo igen spørgsmålet om afvejningen mellem på den ene side et brugerhensyn og på den anden side risikoen for misbrug. Hvis du skal oprette en fuldmagt, fordi du ikke selv vil skrive under på et skøde, når du sælger din ejendom, men du vil give din advokat en fuldmagt, så er det jo ret væsentligt, at du også er sikker på, at den fuldmagt, du opretter er rigtigt. Så du ikke lige pludseligt kommer i en situation 3-4 uger senere, når den skal bruges, at så er den ikke noget værd,« siger Søren Sørup Hansen.

Og hvad hvis jeg har ondt i sinde og vil gætte nogens cpr-nummer, og jeg så sørger for at være logget ind via NemId, og jeg prøver eksempelvis 130 gange og finder frem til en persons cpr-nummer. Ringer I så til mig og siger, at det må jeg ikke?

»Nej, det gør vi ikke. men hvis der er nogen, der har mistanke om, at nogen har misbrugt systemet, så har vi mulighed for at se, hvem der har gjort det. Det er jo idéen ved, at vi nu lægger den digitale signatur (eller NemId, red.) på, så bliver det meget lettere. Uden en digital signatur, så har man selvfølgeligt nogle ip-adresser, men dem er der jo mulighed for at fuske med,« siger Søren Sørup Hansen.

Da historierne om en tidligere politimands offentliggørelse af forsvarsminister Nicolai Wammens (S) og statsminister Helle Thorning-Schmidts (S) personnumre begyndte at rulle, kom det også frem, at personbogen på tinglysning.dk kunne bruges af uvedkommende til at finde frem til personnumre. Personbogen kræver det imidltertid stadig ikke login via NemID at tilgå på tinglysning.dk

Dog er personbogen i dag ikke lige så åben, som den var tidligere. Da var det nemlig muligt at få bogen til at både at svare på, om en cpr-nummer-kandidat var den rette og hvilken adresse, personen med cpr-nummeret var tilknyttet. Igen blot ved at kende navn og fødselsdato på en vilkårlig borger.

Sådan er det ikke længere. Nu svarer personbogen på tinglysning.dk kun positivt på en forespørgsel via cpr og navn, hvis en person er registreret i bogen. Eksempelvis i forbindelse med at have taget pant i en cykel. Personer der har taget pant i fast ejendom som et hus fremgår ikke af personbogen på den baggrund. På en måde er det kun muligt at gætte cpr-numre på et begrænset antal personer via den åbne personbog på tinglysning.dk

Og på den baggrund mener Søren Sørup Hansen heller ikke potentialet for misbrug af systemet er lige så stort, som det ville være, hvis systemet til oprettelse af digital fuldmagt stadig lå ubeskyttet, altså uden NemID.

»I personbogen kræver det, at der er registreret noget om den pågældende person, hvorimod via fuldmagten, der kan du gå ind på en hvilken som helst person og oprette en fuldmagt. Så der ligger altså en begrænsning i, at man skal være oprettet i personbogen,« siger han.

Men hvorfor i alverden ikke også bare lægge personbogen ind bag NemID? Jo, den går ifølge Søren Sørup Hansen ikke ifølge loven. Nærmere bestemt paragraf 22 i bekendtgørelse nummer 213 af 15/3 2011 om tinglysning i personbogen. I paragraffen står der:

'Anmodning om oplysninger fra og udskrift af personbogen skal angive den pågældendes CVR-nummer eller navn og fødselsdato eller navn og personnummer.'

Det betyder ifølge Søren Sørup Hansen, at det skal være muligt for enhver - også dem, der ikke har NemID - alene ved at indtaste cpr-nummer og navn at slå en person op i personbogen for eksempelvis at finde ud af, om personen har taget pant i sin cykel.

»Tinglysning er offentliggørelse, det skal være offentlig tilgængeligt for enhver, også uden at man kræver, at folk logger sig på. Det vil sige, at mennesker i andre lande, eksempelvis i Tyskland, skal have mulighed for at se, hvad der gælder i Danmark. Det er idéen med tinglysning, det er den der offentliggørelse,« siger retspræsidenten.

Deltag i debatten på Version2.dk

Kære læser

Berlingske har skiftet det system, vi bruger til at håndtere kommentarer til de enkelte artikler. Det betyder, at tidligere kommentarer nu er slettet. For fremtiden kan artikler kun kommenteres og debateres med et log ind til Facebook.

Med venlig hilsen

Redaktionen

Forsiden lige nu

Til forsiden

Business anbefaler

 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

Annonce

Venezuela har verdens største oliereserver – og en årlig inflation på 100.000 pct. Hvad er det lige, der sker?For en dansk investor var Venezuela frem til for få år siden interessant, fordi ØK havde s...

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen