Ошибка программного обеспечения, которое использовали на государственном налоговом портале Дании, сделала доступными персональные идентификационные номера 1,26 млн датских граждан или пятой части населения страны.
Ошибку удалось выявить и устранить только спустя пять лет. Она была обнаружена после проверки Датским агентством по развитию и упрощению (Udviklings-og Forenklingsstyrelsen или UFST). Как отметили в агентстве, ошибка произошла на TastSelv Borger, официальном портале самообслуживания датской налоговой администрации, куда датские граждане заходят, чтобы регистрироваться и платить налоги онлайн. Каждый раз, когда пользователь обновлял данные учетной записи в разделе настроек портала, его номер CPR добавлялся в URL. URL же собирали аналитические службы Adobe и Google. Действия аналитиков в данном случае были непреднамеренными.
См. также: Пользуетесь Google Chrome? Значит Google собирает ваши данные через X-client-dataНомер CPR в Дании используется для открытия банковских счетов, присвоения телефонных номеров и многих других важных операций. При этом первые шесть цифр десятизначного номера представляют собой дату рождения гражданина. Кроме того, если последняя цифра CPR нечетная, то его владелец — мужчина, а если четная, то владелец — женщина.
В UFST призвали граждан успокоиться, так как данные, скорее всего, были собраны только двумя аналитическими компаниями, и непосредственной угрозы мошенничества для пострадавших не было. Однако некоторые местные эксперты по конфиденциальности также призвали к более широкой проверке исходного кода портала налогового агентства, опасаясь других явных ошибок.
DXC (ранее CSC), компания-разработчик ПО, которая создала портал самообслуживания, заявила, что исправила ошибку после того, как власти сообщили об этой проблеме.
См. также: Кейсы для применения средств анализа сетевых аномалий: обнаружение утечекСтоит отметить, что Дания является третьим скандинавским государством, пострадавшим от утечки за последние несколько лет. Так, в 2015 году Шведское транспортное агентство (STA) разрешило загрузку нескольких конфиденциальных баз данных в облако и доступ к ним со стороны неподготовленных сербских ИТ-специалистов, а в 2018 году хакерская группа украла данные из сферы здравоохранения более половины населения Норвегии.
А в России на одном из специализированных ресурсов выставили базу данных 1,2 млн клиентов микрофинансовых организаций. Тестовый фрагмент базы сдержит около 800 записей, включая ФИО, номера телефонов, адреса электронной почты, даты рождения и паспортные данные россиян. Большинство людей из тестового фрагмента заявили, что являются клиентами компании «Быстроденьги». В этой же базе содержались данные клиентов таких компаний, как «Займер» «еКапуста», «Лайм» и «Микроклад».
fougasse
Поправьте меня, если я не прав, но "Номер CPR в Дании используется для открытия банковских счетов, присвоения телефонных номеров и многих других важных операций." не означает особых проблем и что одного этого номера достаточно для identity theft.
Во многих странах ЕС подоьные номера(соц. страхование и т.п.) довольно предсказуемы и состоят из даты рождения и счётчика, что совершенно не затрудняет их подбор.
Проблема, что зная такой номер сделать ничего не получится, нужен второй/третий фактор для совершения действий.
kahi4
Согласен. В соседней к Дании стране (думаю, у Дании все тоже самое) можно узнать о человеке все — от зарплаты и почем он дом свой купил, заканчивая какие клички у его собак. И ничего, живут. Identity number вроде как является приватной информацией, но раздают её налево и направо.
И да, согласно википедии, CRP "It is a ten-digit number with the format DDMMYY-SSSS, where DDMMYY is the date of birth and SSSS is a sequence number". С учетом, что последняя цифра — хешсумма, подобрать не сложно.
Проблема в том, что ты можешь с помощью этого номера разве что узнать на какой адрес пиццу доставить, для всего остального нужно авторизовываться.
lagranzh
Вообще, свинство конечно. Если ты даешь кому-то номер пасспорта, это не значит что ты хочешь дать ему свою дату рождения. Причин — миллион. От «стесняюсь», до «не хочу спам на д.р.».