CPR-numre var aldrig beregnet på at skulle være specielt hemmelige, og burde heller ikke behandles som sådan.

Se, det er nemlig helt rigtigt. Og jeg har da også stadig en samling på ca. 3-4000 stk. komplette personnumre fra først i 1970'rne - erhvervet på helt legal vis. Blandt dem er flere kendte navne :-)

Ja, CPR-numre er da ikke "hemmelige". Og forstår ikke helt det revolutionerende i "sådan aflæser man barcodes / stregkoder". Det ville først være virkelig mærkeligt hvis stregkoden på et sygesikringsbevis IKKE kunne aflæses, heller ikke manuelt, eller var baseret på en ikke-standardiseret "hemmelig" ASCII ->1D. En mobiltelefon er nok. 

Jeg nægter at tro på, at man noget steds kan optage et lån med CPR + navn + adresse alene. Hvor kan du gøre det? Du kan ikke engang hente en pakke nede på posthuset uden at skulle fremvise ID-dokumentation, det er ikke tilstrækkeligt at lire et personnummer af.  

Det er en relevant diskussion fordi det er blevet sensationaliseret, bla i DR. Og det er svjh sket jævnligt eller er dukket op flere gange gennem årene. Men det undrer også at nogen tror at journalister/private ikke skulle have anelse om, at stregkoden kan aflæses. De fleste har jo set det med egne øjne, f.eks på biblioteket. 

Men OK, indrømmer at jeg nok glemmer at du egentlig alene beskæftiger dig med "sløret" navn vs "ikke sløret" stregkode på billeder. Og det skyldes nok uvidenhed, eller manglende fantasi, hos dem der slører billedet. Men alligevel kan det altså ikke misbruges til at optage lån, eller meget af alt det andet slemme man hører.

Jyllands-Posten havde en serie artikler sidste sommer og du kan se et par eksempler nævnt her.

Jeg ser et eksempel på keylogging. Det forklares ikke hvordan man skulle kunne oprette et benzinkort uden f.eks at have vist kørekort eller pas. For det kan man jo ikke. Og der nævnes i øvrigt også sådan noget med misbrug af kreditkortoplysninger. Altså meget mere, end CPR + -navn + adresse. Og det med "dropadresser", ærlig talt - kan nogen henvise til en virksomhed hvor man bare kan oprette sig som kunde med navn, adresse og CPR, kan bestille varer, uden at betale, og så få dem leveret?

Der sker svindel osv, men der er altid noget mere. Typisk at folks rigtige dokumentation, pas, kørekort osv misbruges, at de har afgivet deres kredirkortoplysninger, pinkode osv. Jeg gad godt se et eksempel på CPR + navn ´+ adresse alene.

dadk. Det her er fra min hukommelse. For nogle år siden demonstrede de konkret hvordan det kunne lade sig gøre. Du generer nogle nye ID med disse oplysninger, der kan f.eks være lånerkort, blockbuster kort og får gensendt en kopi af seneste el regning på offeret. Jeg kan ikke huske i detaljer hvordan de gjorde (fiskede op af post kassen, eller lavede en aftale med afhentning af posten på posthuset). Anyway med de her nye ID, kunne de begynde at bestille andre former for ID. Som igen kunne danne grundlag for nye bestillinger af ID.

Jeg kan ikke gå ind og argumenterer i mod dit argument med det ikke kan lade sig gøre, for jeg har aldrig forsøgt at stjæle en anden persons identitet. Til det må jeg stoler på de historier der jævnligt dukker op i medierne er korrekte. Her er et konkret eksempel. 

Af ren interesse ville jeg forsøge at lave en dummy låne ansøgning ved DER (CPR indtastning), men da jeg har adressebeskyttelse afviste den mig.

xxxxx. Jeg besidder nok heller ikke den tilstrækkelige kriminelle tankegang :-) Jeg er med på, at for f.eks 10 år siden, kunne du i ond tro melde flytning på en anden persons vegne, der var dengang i det offentlige en række huller hvor man ift papirformularer havde en blind tro på rigtigheden af de oplysninger der blev opgivet. 

Men det er årtier siden man har kunne optage lån med CPR + navn + adresse alene. Hvis det overhovedet har været muligt. I gamle dage skulle man medbringe sin dåbsattest, kan jeg erindre. Du kan jo ikke engang oprette en bankkonto uden at skulle vise behørig dokumentation, du kan ikke hæve penge uden billedlegitimation (et sygesikringsbevis kan være stjålet) - har prøvet begge dele. Ikke en engang udlevering af et glemt kort i automaten har jeg kunne få, uden billedlegitimation. 

Ift "nye ID" tænker du vel sagtens på at overføre til blanke kort, men et sådan kan du jo ikke stå og vifte med nede i Blockbuster eller andre steder med svag sikkerhed, der også er lavrisikobrancherne (med mindre du kopierer også kortets udseende mm, og det er godt nok meget bøvl for at få en gratis DVD).

Du kan ikke lave en aftale om afhentning af post nede på posthuset uden billedlegitimation. Der skal en myriade af oplysninger til for at kopiere hævekort, og det opdages svjv ALTID, selvom det naturligvis skal bruges før det kan opdages, og kunden holdes i øvrigt skadesfri.

Som altid er der noget mere, meget mere, end bare CPR + navn + adressse. I dit link med hende der fik foretaget nogle falske lån har dem der gjort det åbenbart været i besiddelse af hendes lønsedler. Altså ret mere vidtgående, netop dokumentation. Det stinker i øvrigt af et "insiderjob", hendes uvorne søn? :-) Eller som minimum et indbrud også, så man har kunne skaffe sig denne dokumentation. Jeg synes artiklen er et godt udtryk for misforståelser lidt af samme skuffe du selv adresserer i din oprindelige research. CPR + navn åbner ikke "døre overalt i samfundet". Der henvises til at man kan melde flytning på 2 minutter, ja - men du skal jo lige OGSÅ være i besiddelse af personens NemID.

Generelt i artiklen er det sensationalisering af vag information. "Vi kender ikke omfanget af dette identitetstyveri, men vi ved, at det finder sted – også i Danmark", ja - selvfølgelig. Men det siger ikke et klap om succesraten, eller hvad det er der forsøges at blive svindlet med. 

Vi er nede i de helt små ting i dag, og har været det længe, der kræver meget mere dokumentation end CPR + navn + adresse. F.eks fik jeg forleden et brev fra PostDanmark, om "Nej Tak" til reklamer. Jeg har haft det i mange år, har vist 4 skilte på postkassen - alligevel skal jeg nu bekræfte det enten online via NemID eller på posthuset med billedlegitimation.

Den med online lån tænke jeg også selv på som en vag mulighed. Måske fandtes der et eller andet suspekt "Onkel Bob"-firma der bevidst gjorde det så nemt og pivåbent som muligt. Men så igen, du skal som minimum henvise til en konto lånet skulle overføres til, hvis det gik i gennem, og så er man jo lige vidt (med mindre man gerne vil sidde i fængsel for bedrageri). Man kunne så teoretisk have hijacket en konto, og få overført pengene til en ikke-sporbar konto i udlandet inden kontoen blev spærret, men altså stadig ude i den alleryderste usandsynlige teori. Og det ville bare blive tilbageført, selv hvis det lykkedes.  

Det journalister og diverse forbrugerprogrammer ofte "glemmer", er, at dels har virksomhederne jo selv en stor egeninteresse i at den person de handler med er "ægte", dels er der tusindvis af mennesker der dagligt sidder og arbejder med folks CPR-numre, navne, adresser mv. Lige fra lønkontoret i den virksomhed du arbejder i til et astronomisk antal offentligt ansatte. Jeg kunne selv have stjålet 250.000 CPR numre hvis jeg ville, dengang jeg arbejdede med den slags. Hvis CPR + navn + adresse var nok, ville vi opleve en hel anden massiv form for misbrug i samfundet. 

I øvrigt er jeg ALDRIG blevet afkrævet CPR nummer i en butik, ift hvad jeg kan huske. Jeg er blevet spurgt om fødselsår, med et skævt smil af en ansat i DSB fordi det nu er blevet krav at de spørger om alder når man køber alkohol, og jeg er blevet spurgt om postnr, så de kunne lave statistik over hvor deres kunder kommer fra. Jeg ville ikke selv have noget imod at opgive CPR, hvis det var relevant, også i en butik, men kan ikke erindre det er sket. 

Jeg vil vove at påstå, at CPR + navn + adresse generelt ikke kan bruges til en pind, i hvert fald ikke noget alvorligt eller skadeligt, som et eller andet offer hænger på. I alle tilfælde er der altid noget andet, og meget mere grelt der gør sig gældende. F.es på DR, hvor de bytter sygesikringsbeviser - ja hallo, det er noget andet. 

Men det er godt du sætter fokus på det. Det må have været tilfredsstillende sådan at sidde der en fredag eftermiddag, som du skriver, og gennemskue stregkoden på affotograferede sygesikringsbeviser!! :-) Det er en god historie!!

Det grundliggende problem er (som du også skriver), at der ligger for megen "magt" i blot at kende et CPR-nummer - et nummer, der ikke ændres i hele ens liv. Så der vil være tid/muligheder nok for en kompromittering.

Der er jo en grund til, at Dankort udskiftes jævnligt. Men man kunne vel forbedre systemet ved - som med Dankort - at tilføje tre (udskiftelige) kontrolcifre. Cifre, som ikke skulle fremgå at f.eks. et sygesikringskort.