hemuline Skrevet 29. oktober 2014 Del Skrevet 29. oktober 2014 (endret) I Altinn er det ihvertfall ett, ganske betydelig, sikkerhetshull. Man kan finne alles fødselsnummer ved å prøve alle gyldige fødselsnummer + navn. Mer omfattende forklart her. Det er to spørsmål som kom i hodet mitt da jeg fant dette: - Hvordan kan dette være mulig? Driter de fullstendig i sikkerheten, eller er de rett og slett så teite at de ikke har tenkt på muligheten? - Hvordan ville man gått frem for å lage et program som henter ut betydelige mengder fnr + navn? Det kan da umulig være vanskelig? Edit: Mulig jeg la denne feil. La den her fordi jeg kobler programmer med Python. Endret 29. oktober 2014 av hemuline Lenke til kommentar
oyvindlw Skrevet 29. oktober 2014 Del Skrevet 29. oktober 2014 (endret) "Fødselsnummer er et unikt identifiseringsnummer som alle mennesker som blir født eller som bosetter seg i Norge blir tildelt av staten. Nummeret regnes ikke som en sensitiv opplysning og er ikke taushetsbelagt." http://datatilsynet.no/personvern/Fodselsnummer/ Det er vel fordi Fødselsnummer ikke er "hemmelig". edit: tulla litt med qoute. Endret 29. oktober 2014 av oyvindlw Lenke til kommentar
etse Skrevet 29. oktober 2014 Del Skrevet 29. oktober 2014 (endret) Det store problemet er at man i enkelte deler av samfunnet har begynt å bruke personnummer for autorisjon. Det er som sagt over her, ikke ment til å være noe hemmelig. Kun ment for å være en nummer som kan brukes for å unikt indentifisere en person - da navn og fødelsdato gjerne har kollisjoner. Så om du f.eks. skulle indentifisere deg som "Ole Hansen først 3. fabruar" så kan det godt være det er flere alternativer. Men på et eller annet punkt var det noen selskaper som tydeligvis missforstod hele opplegget og begynte å godkjenne personnummer som om det skulle være et hemmelig passord. Og etter det har det bare blitt problemer. Jeg tror det kan komme av at man i USA har "Social security number" som faktisk er et hemmelig tall - og ikke kan sammenlignes med norske personnummer. Og på den måten har det kanskje blitt en forvirring når selskaper tok i bruk amerikanske systemer i Norge. Endret 29. oktober 2014 av etse Lenke til kommentar
hemuline Skrevet 29. oktober 2014 Forfatter Del Skrevet 29. oktober 2014 (endret) "Fødselsnummer er et unikt identifiseringsnummer som alle mennesker som blir født eller som bosetter seg i Norge blir tildelt av staten. Nummeret regnes ikke som en sensitiv opplysning og er ikke taushetsbelagt." http://datatilsynet.no/personvern/Fodselsnummer/ Det er vel fordi Fødselsnummer ikke er "hemmelig". edit: tulla litt med qoute. Nei, men kombinasjonen navn + fnr er det. Edit: Ikke sensitivt, såvidt jeg kan se, men det er ganske mye regler rundt bruken av det. Dette gjelder også lagring og sikkerhet. Har vært mange saker hvor folk er tatt for å ha lister liggende. Endret 29. oktober 2014 av hemuline Lenke til kommentar
oyvindlw Skrevet 29. oktober 2014 Del Skrevet 29. oktober 2014 "Fødselsnummer er et unikt identifiseringsnummer som alle mennesker som blir født eller som bosetter seg i Norge blir tildelt av staten. Nummeret regnes ikke som en sensitiv opplysning og er ikke taushetsbelagt." http://datatilsynet.no/personvern/Fodselsnummer/ Det er vel fordi Fødselsnummer ikke er "hemmelig". edit: tulla litt med qoute. Nei, men kombinasjonen navn + fnr er det. Edit: Ikke sensitivt, såvidt jeg kan se, men det er ganske mye regler rundt bruken av det. Dette gjelder også lagring og sikkerhet. Har vært mange saker hvor folk er tatt for å ha lister liggende. Enig med det etse skriver over her. Jeg tror ikke datatilsynet gjør noe med saken fordi det ikke er mye å gjøre. Da blir det å lage et nytt system for personnummer (siden man man med litt innsats regne ut personnummeret for hånd). Lenke til kommentar
Darkbill Skrevet 29. oktober 2014 Del Skrevet 29. oktober 2014 Fant du ikke ut dette før nå? Har vært slik en stund. Ikke bare hos Altinn, men du kan gjøre det samme hos for eksempel Telenor.no og Chess.no, eller hvor som helst hvor det blir tatt kredittsjekk på fødselsnummer på nettsiden. Du trenger kun navn + fødselsdato, og så bruker du denne slik at du får opp ca. 200 fødselsnummer. Så bruker du ca. en halvtime på å finne riktig fødselsnummer hvis du er uheldig og starter på feil side. http://www.fnrinfo.no/Verktoy/FinnLovlige_Dato.aspx Så kan du egentlig ganske lett bestille falskt norskt førerkort i noen andre sitt navn, hvis du vet når vedkommende fikk og hvilke kjøretøygrupper vedkommende har på førerkortet. Lenke til kommentar
hemuline Skrevet 29. oktober 2014 Forfatter Del Skrevet 29. oktober 2014 "Fødselsnummer er et unikt identifiseringsnummer som alle mennesker som blir født eller som bosetter seg i Norge blir tildelt av staten. Nummeret regnes ikke som en sensitiv opplysning og er ikke taushetsbelagt." http://datatilsynet.no/personvern/Fodselsnummer/ Det er vel fordi Fødselsnummer ikke er "hemmelig". edit: tulla litt med qoute. Nei, men kombinasjonen navn + fnr er det. Edit: Ikke sensitivt, såvidt jeg kan se, men det er ganske mye regler rundt bruken av det. Dette gjelder også lagring og sikkerhet. Har vært mange saker hvor folk er tatt for å ha lister liggende. Enig med det etse skriver over her. Jeg tror ikke datatilsynet gjør noe med saken fordi det ikke er mye å gjøre. Da blir det å lage et nytt system for personnummer (siden man man med litt innsats regne ut personnummeret for hånd). Nei, nei, nei. Da har du ikke lest saken ordentlig. Problemet er at du har lov til å prøve ubegrenset mange ganger på å legge inn navn + fnr i Altinn. Til og med forum har en grense for hvor mange ganger man kan forsøke før man blir blokkert for en stund. Om de legger inn en grense på, si, 4 ganger pr navn pr dag, så kan man ikke lenger automatisere ved hjelp av script. Litt som captcha eller sikkerhetsspørsmål. Teleoperatører hadde et liknende problem for mange år tilbake. Det ble rettet ved å begrense antall forsøk. Lenke til kommentar
hemuline Skrevet 29. oktober 2014 Forfatter Del Skrevet 29. oktober 2014 Fant du ikke ut dette før nå? Har vært slik en stund. Ikke bare hos Altinn, men du kan gjøre det samme hos for eksempel Telenor.no og Chess.no, eller hvor som helst hvor det blir tatt kredittsjekk på fødselsnummer på nettsiden. Du trenger kun navn + fødselsdato, og så bruker du denne slik at du får opp ca. 200 fødselsnummer. Så bruker du ca. en halvtime på å finne riktig fødselsnummer hvis du er uheldig og starter på feil side. http://www.fnrinfo.no/Verktoy/FinnLovlige_Dato.aspx Så kan du egentlig ganske lett bestille falskt norskt førerkort i noen andre sitt navn, hvis du vet når vedkommende fikk og hvilke kjøretøygrupper vedkommende har på førerkortet. Har visst at dette har vært en mulighet, ja. Finnes det fortsatt teleoperatører med denne feilen? Link? Lenke til kommentar
Darkbill Skrevet 29. oktober 2014 Del Skrevet 29. oktober 2014 Bare hvilken som helst operatør og så bestiller du fram til du kommer til "Navn og fødselsnummer" Lenke til kommentar
hemuline Skrevet 29. oktober 2014 Forfatter Del Skrevet 29. oktober 2014 (endret) Bare hvilken som helst operatør og så bestiller du fram til du kommer til "Navn og fødselsnummer" Jeg mener dette er rettet opp for en god stund tilbake. Forsøkte mitt eget på Telenor nå og det gikk ikke. La inn 10 (gyldige) fødselsnummer som ikke stemte, for så å legge inn det reelle. Fikk opp samme meldingen da også og fikk ikke bestilt. Edit: Men hvis du finner en som virker, vil jeg gjerne vite det. Endret 29. oktober 2014 av hemuline Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå