Gå til innhold

Dataangrep mot Norkart


Anbefalte innlegg

Videoannonse
Annonse

Navn, personnummer og adresse på samtlige som er, eller har vært oppført med eid eiendom?!?

Au!

I praksis de aller fleste voksne? 

Nei, skal vi like gjerne rulle ut nye personnummer til oss alle, da?

Eller; bedre forslag: la oss gå bort fra å anse personnummer som noe hemmelig. At noen kan mitt personnummer betyr ikke at vedkommende er meg!! 

Vi trenger noe nytt og unikt for å verifisere at jeg er meg, og du er deg. Det bør være en identifikator som kan endres, slik at evnt. misbruk eller id på avveie, lett kan blokkeres. 

Får vi til noe slikt, kan vi kanskje begynne å behandle personnummeret som kun er nummer. Litt som et telefonnummer. Trenger jo ikke være hemmelig. Men vi trenger først en avløsende standard for privat id.

Hadde jo vært fantastisk om vi fant en løsning basert på offentlig/privat sertifikat-tankesettet; altså at informasjonen man deler ut ikke er avslørende nok. Godt nok til å bekrefte at jeg er meg, men svakt nok til at motparten sitter på min kode. Usikker på hvor realistisk dette er å få til, riktignok. Vi klarer jo ikke en gang å lage id-kort til befolkningen vår, enda mindre bemanne passkontorene nok til at befolkningen kan bestille påkrevd id-papir 🙄👀 (Til tross for at jeg strengt tatt gjør nesten hele jobben selv på passkontoret. Hvorfor er det allikevel så tidkrevende og ineffektivt??)

  • Liker 6
  • Innsiktsfullt 1
Lenke til kommentar
Skulle akkurat til å skrive det samme. Det må bli slutt på å se på personnummer som noe hemmelig og som kan gi tilgang til sensitiv informasjon. Som du sier må vi se på det som like lite hemmelig som et telefonnummer.
Lenke til kommentar

Dette er vel ganske åpen informasjon i utgangspunktet og de fleste som evner å utnytte informasjonen har vel en lovhjemmel til å få det hele 🙂    Interessant om noen fant ut hvem det var og hva de skulle bruke det til.

Lenke til kommentar
tovare skrev (2 minutter siden):

Interessant om noen fant ut hvem det var og hva de skulle bruke det til.

Med ditt navn og personnummer kan jeg lett inngå ymse avtaler, og utnytte meg av nevnte avtaler, mens regningen sendes deg.

Kanskje klarer de til og med få et kredittkort (eller femten) med beløpsgrense på et par hundre tusen sendt til din postkasse? Adressen din ble også eksponert, så da er det jo bare å vente utenfor din postkasse på at plastikkort med samlet verdi på millionen ankommer. Gjenta så mot naboen. 

Temmelig stort skadepotensiale, i grunn!!

  • Liker 1
Lenke til kommentar

BankID er vel nettopp en autentisering som ikke blir «knekt» av at en tilfeldig aktør lar et regneark komme på avveie?

La gå at man antagelig må ha personnummer for å få BankID men som løpende autentisering funker det greit.

Tildel BankID til alle nyfødte. Bevitnet av prest/lensmann/…?

-k

Endret av knutinh
Lenke til kommentar

Riktignok er personnummer definert som "ikke sensitivt" eller "hemmelig" men samtidig brukes det av både private og offentlige aktører som del av verifisering og det betyr at det legger til rette for enklere ID tyveri.

Har man navn, personnummer og adresse så mangler det vel egentlig bare en nyregistrert SIM-brikke for å skaffe seg en BankID i personens navn?

Nettopp kjøp av en ny SIM-brikke der id-sjekken ikke gjøres (om man har utro tjener i telefonselskap) eller gjøres mangelfullt ved kjøp blir noen hakk enklere da.   

Det legger da til rette for at en svindler kan bruke ditt navn, adresse og personnummer knyttet til en ny SIM-brikke.  Noe du selv ikke umiddelbart vil oppdage. 

Evt hvis det er samme tlf-nr (at svindleren har portert ditt nr til ny SIM-brikke) vil vise seg ved at telefonen din slutter å virke mens svindlerens virker. Kan fort gi en kinkig situasjon der du selv er uten BankID og det blir et kappløp ift å blokkere svindleren fra å registrere ny BankID.

Endret av Rune_says
Lenke til kommentar

Du må identifisere seg med pass for å få BankID. Mulig jeg tar feil, men jeg mistenker at kanskje kredittkort blir vanskelig å skaffe også uten noen form for ekte legitimasjon.

Men, man kan nok bruke et pnr til en annen for å f.eks. registre en bruker av et kontantkort hvis man trenger en midlertidig telefon som ikke kan spores (Men det kan jo hende det er like greit å bare generere et tilfeldig gyldig nummer og se hva som funker. Hvis jeg ikke tenker feil vil man ved å velge et f.eks. et toppår, august og en tirsdag kunne treffe 50% riktig)?

 

Endret av tovare
Lenke til kommentar
9 hours ago, Rune_says said:

Nettopp kjøp av en ny SIM-brikke der id-sjekken ikke gjøres (om man har utro tjener i telefonselskap) eller gjøres mangelfullt ved kjøp blir noen hakk enklere da.   

Det legger da til rette for at en svindler kan bruke ditt navn, adresse og personnummer knyttet til en ny SIM-brikke.  Noe du selv ikke umiddelbart vil oppdage. 

Evt hvis det er samme tlf-nr (at svindleren har portert ditt nr til ny SIM-brikke) vil vise seg ved at telefonen din slutter å virke mens svindlerens virker. Kan fort gi en kinkig situasjon der du selv er uten BankID og det blir et kappløp ift å blokkere svindleren fra å registrere ny BankID.

Kan du vera grei å beskriva alle trinn i din tenkte prosess, og korleis du skal komma rundt alle sikkerhetstiltak?

Lenke til kommentar
hehehehhe, ingenting å skjule, intenting å frykte er nok sagt mange ganger, men sjeldent av noen som jobber med sikkerhet Er nok fornuftig å slå på sperre for kredittsjekk feks hos Bisnode eller noe lignende for de som ikke alt har gjort det... egentlig burde vel det vært default
  • Liker 2
Lenke til kommentar
sedsberg skrev (10 timer siden):

Har man ingenting å skjule så har man ingenting å frykte! Er det ikke det alle sier da?

Si det til Putin når du leverer persondataene dine over til han. Jo, man har noe å skjule selv om man er så naiv at man ikke tror det selv. Russland har stor interesse i å få adresselister over nesten alle voksne nordmenn, med personnummer og kunne spore alle eiendomsovertagelser. I dagens politiske situasjon synes jeg det er særdeles naivt å påstå at vi som både enkeltmennesker og arbeidstakere og deltakere i ørten nettverk både politisk, sikkerhetspolitisk og forretningsmessig ikke skal ha noe å skjule. Hvorfor har du klær på deg på dager som er varme nok til å gå naken? og du like gjerne kunne vært iført kun solkrem? Selvsagt har vi noe å skjule! Alle sammen.

Jeg forventer at alle de rammede får nye personnummer og et 4-5 sifret beløp i erstatning for bruddet.

Endret av Simen1
  • Liker 3
Lenke til kommentar
digimator skrev (25 minutter siden):

Kan du vera grei å beskriva alle trinn i din tenkte prosess, og korleis du skal komma rundt alle sikkerhetstiltak?

Å bestille mobil-abb, med tilsendt sim i posten, er da lekende lett. Jeg kan ikke huske å ha måtte identifisere meg utover personnummer noen gang, hvertfall.

Å få brukt sim til å opprette bankid er jeg mer usikker på. Men alle mine tjenester hvor engangskoder kan sendes pr sms, vil du nå ha tilgang til. 

Her har noen til og med laget oversikt over kredittkort som kan bestilles uten bank id. Tok meg 3 sekunder å finne med enkel Google søking …  https://www.bestekredittkortet.com/uten-bankid/

Lenke til kommentar
Mats Magnem skrev (1 time siden):

Lurer på hvordan dette er konstruert når man får uautorisert tilgang til databaser når det er en feil i konfigurasjon på en firewall. Hvordan henger dette egentlig sammen rent teknisk?

Det er vel ikke nødvendigvis tilgang til en database det er snakk om, men f. Eks. Et http endepunkt som i utgangspunktet ikke skulle være tilgjenglig på internett, men som var åpent også har det bare vært å hente data fra det. 

  • Liker 1
Lenke til kommentar
digimator skrev (1 time siden):

Kan du vera grei å beskriva alle trinn i din tenkte prosess, og korleis du skal komma rundt alle sikkerhetstiltak?

Det vil ikke være rett fram og man er avhengig av at en ansatt i bank f.eks. ikke følger reglene eller at man klarer å lure personen som svindles til å røpe svaret på det pre-definerte spørsmålet som banken bruker for å validere at du er du når du ringer.  

Da kan du f.eks. bestille nytt bank-id kodekort og snappe opp dette i postkassen og bruke dette til å skaffe ny BankID på mobilen.

Vi vet vel også når det gjelder type kjøp av varer på f.eks. kreditt så er det ofte mangelfull autentisering.  ("Svindler:Fillern har glemt førerkortet, men du kan jo bare slå opp tlf-nr mitt på gulesider og ringe telefonen min, som du ser jeg låser opp med fingeravtrykk/faceID" "Butikkansatt: OK,signer her").

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...