Dataangrep mot Norkart

[Redaksjonen.]

Dataangrep mot Norkart

[qualbeen]

Navn, personnummer og adresse på samtlige som er, eller har vært oppført med eid eiendom?!?

Au!

I praksis de aller fleste voksne? 

Nei, skal vi like gjerne rulle ut nye personnummer til oss alle, da?

Eller; bedre forslag: la oss gå bort fra å anse personnummer som noe hemmelig. At noen kan mitt personnummer betyr ikke at vedkommende er meg!! 

Vi trenger noe nytt og unikt for å verifisere at jeg er meg, og du er deg. Det bør være en identifikator som kan endres, slik at evnt. misbruk eller id på avveie, lett kan blokkeres. 

Får vi til noe slikt, kan vi kanskje begynne å behandle personnummeret som kun er nummer. Litt som et telefonnummer. Trenger jo ikke være hemmelig. Men vi trenger først en avløsende standard for privat id.

Hadde jo vært fantastisk om vi fant en løsning basert på offentlig/privat sertifikat-tankesettet; altså at informasjonen man deler ut ikke er avslørende nok. Godt nok til å bekrefte at jeg er meg, men svakt nok til at motparten sitter på min kode. Usikker på hvor realistisk dette er å få til, riktignok. Vi klarer jo ikke en gang å lage id-kort til befolkningen vår, enda mindre bemanne passkontorene nok til at befolkningen kan bestille påkrevd id-papir 🙄👀 (Til tross for at jeg strengt tatt gjør nesten hele jobben selv på passkontoret. Hvorfor er det allikevel så tidkrevende og ineffektivt??)

[paaland]

Skulle akkurat til å skrive det samme. Det må bli slutt på å se på personnummer som noe hemmelig og som kan gi tilgang til sensitiv informasjon. Som du sier må vi se på det som like lite hemmelig som et telefonnummer.

[sedsberg]

Har man ingenting å skjule så har man ingenting å frykte! Er det ikke det alle sier da?

[Myriad]

Sitat

Ifølge selskapet er det ikke noen tegn på at opplysningene er forsøkt misbrukt.

Dette har de jo absolutt null grunnlag for å mene noe om

[tovare]

Dette er vel ganske åpen informasjon i utgangspunktet og de fleste som evner å utnytte informasjonen har vel en lovhjemmel til å få det hele 🙂    Interessant om noen fant ut hvem det var og hva de skulle bruke det til.

[qualbeen]

tovare skrev (2 minutter siden):

Interessant om noen fant ut hvem det var og hva de skulle bruke det til.

Med ditt navn og personnummer kan jeg lett inngå ymse avtaler, og utnytte meg av nevnte avtaler, mens regningen sendes deg.

Kanskje klarer de til og med få et kredittkort (eller femten) med beløpsgrense på et par hundre tusen sendt til din postkasse? Adressen din ble også eksponert, så da er det jo bare å vente utenfor din postkasse på at plastikkort med samlet verdi på millionen ankommer. Gjenta så mot naboen. 

Temmelig stort skadepotensiale, i grunn!!

[knutinh]

BankID er vel nettopp en autentisering som ikke blir «knekt» av at en tilfeldig aktør lar et regneark komme på avveie?

La gå at man antagelig må ha personnummer for å få BankID men som løpende autentisering funker det greit.

Tildel BankID til alle nyfødte. Bevitnet av prest/lensmann/…?

-k

Endret 10. mai 2022 av knutinh

[Rune_says]

Riktignok er personnummer definert som "ikke sensitivt" eller "hemmelig" men samtidig brukes det av både private og offentlige aktører som del av verifisering og det betyr at det legger til rette for enklere ID tyveri.

Har man navn, personnummer og adresse så mangler det vel egentlig bare en nyregistrert SIM-brikke for å skaffe seg en BankID i personens navn?

Nettopp kjøp av en ny SIM-brikke der id-sjekken ikke gjøres (om man har utro tjener i telefonselskap) eller gjøres mangelfullt ved kjøp blir noen hakk enklere da.   

Det legger da til rette for at en svindler kan bruke ditt navn, adresse og personnummer knyttet til en ny SIM-brikke.  Noe du selv ikke umiddelbart vil oppdage. 

Evt hvis det er samme tlf-nr (at svindleren har portert ditt nr til ny SIM-brikke) vil vise seg ved at telefonen din slutter å virke mens svindlerens virker. Kan fort gi en kinkig situasjon der du selv er uten BankID og det blir et kappløp ift å blokkere svindleren fra å registrere ny BankID.

Endret 10. mai 2022 av Rune_says

[tovare]

Du må identifisere seg med pass for å få BankID. Mulig jeg tar feil, men jeg mistenker at kanskje kredittkort blir vanskelig å skaffe også uten noen form for ekte legitimasjon.

Men, man kan nok bruke et pnr til en annen for å f.eks. registre en bruker av et kontantkort hvis man trenger en midlertidig telefon som ikke kan spores (Men det kan jo hende det er like greit å bare generere et tilfeldig gyldig nummer og se hva som funker. Hvis jeg ikke tenker feil vil man ved å velge et f.eks. et toppår, august og en tirsdag kunne treffe 50% riktig)?

 

Endret 10. mai 2022 av tovare

[mobile999]

qualbeen skrev (1 time siden):

Eller; bedre forslag: la oss gå bort fra å anse personnummer som noe hemmelig. At noen kan mitt personnummer betyr ikke at vedkommende er meg!!

Hva med en chip i pekefingeren med en identifikator på 3x6 tegn?

[tovare]

mobile999 skrev (2 minutter siden):

Hva med en chip i pekefingeren med en identifikator på 3x6 tegn?

Vi kan tape fast bankid brikken til fingeren (biohacking for alle oss andre)

[Mats Magnem]

Lurer på hvordan dette er konstruert når man får uautorisert tilgang til databaser når det er en feil i konfigurasjon på en firewall. Hvordan henger dette egentlig sammen rent teknisk?

[digimator]

9 hours ago, Rune_says said:

Nettopp kjøp av en ny SIM-brikke der id-sjekken ikke gjøres (om man har utro tjener i telefonselskap) eller gjøres mangelfullt ved kjøp blir noen hakk enklere da.   

Det legger da til rette for at en svindler kan bruke ditt navn, adresse og personnummer knyttet til en ny SIM-brikke.  Noe du selv ikke umiddelbart vil oppdage. 

Evt hvis det er samme tlf-nr (at svindleren har portert ditt nr til ny SIM-brikke) vil vise seg ved at telefonen din slutter å virke mens svindlerens virker. Kan fort gi en kinkig situasjon der du selv er uten BankID og det blir et kappløp ift å blokkere svindleren fra å registrere ny BankID.

Kan du vera grei å beskriva alle trinn i din tenkte prosess, og korleis du skal komma rundt alle sikkerhetstiltak?

[Heiki H.]

hehehehhe, ingenting å skjule, intenting å frykte er nok sagt mange ganger, men sjeldent av noen som jobber med sikkerhet Er nok fornuftig å slå på sperre for kredittsjekk feks hos Bisnode eller noe lignende for de som ikke alt har gjort det... egentlig burde vel det vært default

[Simen1]

sedsberg skrev (10 timer siden):

Har man ingenting å skjule så har man ingenting å frykte! Er det ikke det alle sier da?

Si det til Putin når du leverer persondataene dine over til han. Jo, man har noe å skjule selv om man er så naiv at man ikke tror det selv. Russland har stor interesse i å få adresselister over nesten alle voksne nordmenn, med personnummer og kunne spore alle eiendomsovertagelser. I dagens politiske situasjon synes jeg det er særdeles naivt å påstå at vi som både enkeltmennesker og arbeidstakere og deltakere i ørten nettverk både politisk, sikkerhetspolitisk og forretningsmessig ikke skal ha noe å skjule. Hvorfor har du klær på deg på dager som er varme nok til å gå naken? og du like gjerne kunne vært iført kun solkrem? Selvsagt har vi noe å skjule! Alle sammen.

Jeg forventer at alle de rammede får nye personnummer og et 4-5 sifret beløp i erstatning for bruddet.

Endret 11. mai 2022 av Simen1

[qualbeen]

digimator skrev (25 minutter siden):

Kan du vera grei å beskriva alle trinn i din tenkte prosess, og korleis du skal komma rundt alle sikkerhetstiltak?

Å bestille mobil-abb, med tilsendt sim i posten, er da lekende lett. Jeg kan ikke huske å ha måtte identifisere meg utover personnummer noen gang, hvertfall.

Å få brukt sim til å opprette bankid er jeg mer usikker på. Men alle mine tjenester hvor engangskoder kan sendes pr sms, vil du nå ha tilgang til. 

Her har noen til og med laget oversikt over kredittkort som kan bestilles uten bank id. Tok meg 3 sekunder å finne med enkel Google søking …  https://www.bestekredittkortet.com/uten-bankid/

[Selvstendigsaas]

Mats Magnem skrev (1 time siden):

Lurer på hvordan dette er konstruert når man får uautorisert tilgang til databaser når det er en feil i konfigurasjon på en firewall. Hvordan henger dette egentlig sammen rent teknisk?

Det er vel ikke nødvendigvis tilgang til en database det er snakk om, men f. Eks. Et http endepunkt som i utgangspunktet ikke skulle være tilgjenglig på internett, men som var åpent også har det bare vært å hente data fra det. 

[Rune_says]

digimator skrev (1 time siden):

Kan du vera grei å beskriva alle trinn i din tenkte prosess, og korleis du skal komma rundt alle sikkerhetstiltak?

Det vil ikke være rett fram og man er avhengig av at en ansatt i bank f.eks. ikke følger reglene eller at man klarer å lure personen som svindles til å røpe svaret på det pre-definerte spørsmålet som banken bruker for å validere at du er du når du ringer.  

Da kan du f.eks. bestille nytt bank-id kodekort og snappe opp dette i postkassen og bruke dette til å skaffe ny BankID på mobilen.

Vi vet vel også når det gjelder type kjøp av varer på f.eks. kreditt så er det ofte mangelfull autentisering.  ("Svindler:Fillern har glemt førerkortet, men du kan jo bare slå opp tlf-nr mitt på gulesider og ringe telefonen min, som du ser jeg låser opp med fingeravtrykk/faceID" "Butikkansatt: OK,signer her").

[TeslaS]

Og får dette konsekvenser?! Neeeida, en liten "vi beklager" så er det greit!