Dataangrep mot Norkart

[sedsberg]

Er bare å glede seg til datalagringsdirektivet trer inn for fullt og uvedkommende får lasta ned hele norges internett- og mobilhistorikk. Men hey... Har man ingenting å skjule så har man jo ingenting å frykte. Ikke sant?

[knutinh]

Det gir mening å ha bøter som gjør dette til et økonomisk spørsmål. Hvor følsomme data tør vi å ha lagret i organsiasjonen vår, og hvor lite sikkerhet tør vi å bruke på dem, gitt at et evt innbrudd vil gi oss en bot som setter veksten vår vesentlig tilbake.

Samtidig, hvis straffen blir veldig hard så gir man insentiver til å ikke rapportere om innbrudd og håpe at det går under radaren.

-k

[Pop]

Hadde noen glemt å kjøre pentesting på online tjenester her? Lurer også på hvordan risikovurderingen så ut, siden det åpenbart var scenarier og tiltak som ikke var vurdert.

[henrikwl]

Jeg har antakelig blitt rammet av dette. Jeg er vant til å få alskens falske «ordrebekreftelser» fra diverse aktører som vil ha meg til å klikke på linker og registrere opplysninger, så da jeg fikk en sånn en fra Ecco her på mandagen så ignorerte jeg den som jeg pleier å gjøre. Men i går fikk jeg en melding fra PostNord om en forsendelse fra Ecco, og når jeg leste denne artikkelen så gikk det opp for meg at det faktisk kan hende det er dette som har skjedd meg. 😅

Det er nifst hvor elendig praksis det finnes rundt personnummer. Det å vite et personnummer skulle ikke betydd at man kunne opprette abonnementer og diverse avtaler. Det er hårreisende.

[The Avatar]

qualbeen skrev (14 timer siden):

Eller; bedre forslag: la oss gå bort fra å anse personnummer som noe hemmelig. At noen kan mitt personnummer betyr ikke at vedkommende er meg!! 

Fødselsnummeret er ikkje lenger rekna som sensitiv personopplysning eller hemmeleg. https://www.datatilsynet.no/rettigheter-og-plikter/personopplysninger/fodselsnummer/
Slik har det våre ganske lenge utan at eg finn referanse når dette skjedde, det er mulig at det alltid har vært slik og at folk flest berre har hatt inntrykk av at fødselsnummeret var hemmeleg.
Etter offentlegheitslova § 26 er det opna for at det offentlege kan velje å ikkje utlevere fødselsnummer til dei som søker innsyn, men det offentlege har inga plikt til å halde tilbake fødselsnummeret.

Fødselsnummeret sin funksjon er fyrst og fremt at det er eit unikt nummer som sikrar at ein forheld seg til rett person. Det kan finnes mange som heiter Ola Hansen og som er ført 11 mai, men berre ein av dei har personnummeret 12345.

Den store feilen med personnummer er at alt for mange aktørar brukar fødselsnummeret og samtidig feilaktig antek at eit fødselsnummer er ein form for identifikasjon.
Ein lånesøknad frå Ola Hansen frå Oslo med fødselsnummer 11.05.2000 12345 er like mykje verdt som ein lånesøknad som det berre står Ola Hansen på.
Problemet er at med eit gyldig fødselsnummer så finn banken også rett kontonummer å sende pengane til og rett unike person å registrere lånet på utan at banken treng å gjerer fleire undersøkingar på om det er korrekt person som har søkt om lånet.
Hadde du søkt om lån berre under namnet Ola Hansen så må banken undersøke nærmare for å finne ut om det er Ola Hansen i Trondheim eller Ola Hansen i Oslo som ville ha lån før banken kan føre over pengane og sette opp låneavtale.

Den openbare løysinga er å sette krav om at det er lånegivaren som har bevisbyrden for at det er inngått gyldig avtale for at lånet skal kunne krevast inn. I praksis betyr det at lånegivaren berre kan innvilge lån ved personleg oppmøte og framvisning av ID-kort eller digitalt via bank-ID. Om ein lånegivar vel å tilbylån utan slik sikker identifikasjon, som til dømes SMS lån, så må det være lånegivaren som bærer all risiko for at det er inngått gyldig avtale i tråd med avtaleloven, altså at lånegivaren må ha sikra at lånetakaren har gitt sin viljeerklæring, utan å vært sinnsforvirra eller for uerfaren til å forstå omfanget av avtalen.

[Karstein H]

qualbeen skrev (14 timer siden):

Navn, personnummer og adresse på samtlige som er, eller har vært oppført med eid eiendom?!?

Au!

I praksis de aller fleste voksne? 

Nei, skal vi like gjerne rulle ut nye personnummer til oss alle, da?

Eller; bedre forslag: la oss gå bort fra å anse personnummer som noe hemmelig. At noen kan mitt personnummer betyr ikke at vedkommende er meg!! 

Vi trenger noe nytt og unikt for å verifisere at jeg er meg, og du er deg. Det bør være en identifikator som kan endres, slik at evnt. misbruk eller id på avveie, lett kan blokkeres. 

1. Du har rett i at personnummer, eller egentlig hele fødselsnummeret - fødselsdato og personnummer, ikke er sensitiv informasjon. Det er en attributt på personen, på linje med navn.

2. Det er et skille mellom å kjenne fødselsnummer og det å autentisere seg. Det må alle som behandler personopplysninger erkjenne og bli ansvarliggjort for, hvis de eksempelvis via telefon har godtatt identitet for en person, ved at innringer kjenner et personnummer.

3. Autentisering kan gjerne bruke fødselsnummer som inndata, men et godt eksempel er BankId på mobil, som bruker fødselsdato og mobilnummer som inndata. Verken fødselsdato eller mobilnummer anses som sensitiv informasjon, men de er i praksis nesten like viktige for svindlere, som fødselsnummer er. Dette nettopp pga den massive utbredelsen av BankId for pålogging på alt mulig av banker, forsikring, offentlige og private løsninger.

4. Den massive utbredelsen av BankId på Mobil, sammen med at fødselsdato ofte er lett å få folk til å oppgi, og at mobilnumeret ofte er tilgjengelig sammen med navn, gjør at det er enkelt for svindlere å ringe folk, og gi dem en plausibel grunn til at de skal autentisere seg med BankId på Mobil, når meldingen om det kommer på telefonen. Svindleren kjenner navn og mobilnummer fra offentlige kilder, ber om fødselsdato for å verifisere at du er deg, setter så selv i gang en BankId på Mobil innlogging i nettbanken din, og lurer deg ved å gi deg en plausibel grunn til at du må autentisere deg. 
Koblingen mellom navn og mobilnummer er derfor like sensitiv som fødselsnummer, siden bruksområdet i stor grad er det samme.

5. Ett område er faktisk ganske problematisk med å få lister over navn, adresse og fødselsnummer, og det er at svindlere kan f.eks. ta opp lån over telefon, be om at lånepapirene sendes i brev, og så stjele brevene fra postkassene. 

6. Teknisk sett er det ingen grunn til at KartNor lagrer fødselsnummer for bruk ifm eiendomsinformasjon. De kunne ved import fra Folkeregisteret lage unike ID-numre for hver person, og så i den eksponerte web-applikasjonen kun bruke den unike ID-en. Utfordringen er at ved pålogging med BankId er knytningen mot fødselsnummer. Etter innlogging må fødselsnummer derfor, på en svært sikker måte, kobles mot den unike ID-en, på en slik måte at det ikke kan hentes ut lister over fødselsnummer. Dette gjør at innlogging med BankId er et problem. Slike tjenester burde i prinsippet ikke bruke bankId, selv om det er svært praktisk.

 

[oppat]

Det som er bra med dette angrepet er at ingen lenger kan anta at kunnskap om personnummer kan brukes for å inngå avale o.l.

Vi får anta at dette tilsidesetter eksisterende prejudikat.

[KalleKanin]

TeslaS skrev (4 timer siden):

Og får dette konsekvenser?! Neeeida, en liten "vi beklager" så er det greit!

Akkurat det som skjer.

Direktøren bagatelliserer det hele:
https://www.kode24.no/artikkel/norkart-hacking-skyldtes-trolig-en-apen-port-viktig-a-stotte-utviklerne-som-har-tabbet-seg-ut/76072937

"Feilen er trolig ganske banal, men er en feil som kan skje selv de beste"
Da burde man vel ha på plass mekanismer som gjør at ikke 1 slik banal feil gir slike konsekvenser?

Det er bra med åpenhet, men samtidig er dette veldig alvorlig. 
Dette tyder på en alt for slapp sikkerhetskultur. (Som dessverre er veldig utbredt mange steder) 
Med stadig mer av tjenester ut mot internett og et høyt fokus på "smidig" utvikling, øker risikoen drastisk for at slikt skal skje.

Greit at man ikke skal skylde på enkeltpersoner, men direktøren selv burde gå.

Endret 11. mai 2022 av KalleKanin

[xyzæøå]

Nok en gang på tide å reklamere for zero knowledge protokoller, selv for offentlige registre. Teknologien begynner å bli moden, så det er nesten bare viljen det står på. Direktivet om KYC (Know Your Customer) er den største skandalen som har intruffet innen personvern de siste årene. De som har fått mest nytte av dette direktivet er kriminelle som har fått tilgang til personopplysinger og bruker dette til å svindle vanlige folk.

[Pop]

1 hour ago, KalleKanin said:

Direktøren bagatelliserer det hele:
https://www.kode24.no/artikkel/norkart-hacking-skyldtes-trolig-en-apen-port-viktig-a-stotte-utviklerne-som-har-tabbet-seg-ut/76072937

Jeg ble ganske trist av avsnittet med "angrepet ble oppdaget litt over klokken 13 mandag, at søketjenesten ble umiddelbart stengt og sårbarheten ble utbedret klokken 13:29 samme dag". Ikke for det som står i setningen, men for det den ikke tar opp i det hele tatt. Og det interessant som folk normalt ikke tenker over, er når angrepet skjedde, eller startet. Setningen burde vært fulgt opp med "Vi vet ikke når de uvedkommende fikk tilgang til tjenestene og databasene våre, om det var i dag morges, forrige uke eller på sensommeren i fjor...". Sånn ca.

«Vi tror en hacker benyttet portscanningverktøy eller lignende».

"Vi har ikke indikasjoner på at personopplysningene er forsøkt utnyttet."

Jeg klarer ikke helt skjønne at et slikt firma har personopplysninger om nesten samtlige voksne i landet... dette viser i stor grad en altfor dårlig kontroll, og svak sikkerhetskultur.

[oppat]

Hvor mange milliarder kroner i skade kommer Norkart til å skape nå?

Husker dere hvordan disse menneskene med nebb og klør kjempet mot at befolkningen skulle ha tilgang til kartdata?

De sitter med monopol over kartdata betalt over skatteseddelen, nekter å dele med befolkningen som finansierer innhentingen, og slipper en gigantisk dump med persondata om befolkningen.

Kunne de ikke heller slippe kartdataene og skape verdier i samfunnet istedet for å ødelegge samfunnet?

[Simen1]

@oppat Jeg tror du forveksler Norkart (privat selskap) med Kartverket (statlig).

[The Avatar]

Ja her blander du nok @oppat strengt tatt kan ein poengtere det motsette av det du vil fram til. Altså at det er på grunn av at så mange aktørar har fått tilgang til kartdatane så har risikoen for at opplysningane kjem på avvege auka ganske mykje.
Ikkje det at det hadde vært sikkert som banken om det berre var Kartverket som forvalta opplysningane, men då hadde det berre våre ein database å sikre.

[plankeby]

For 20+ år siden var personnummer sensitivt. I dag skal det ikke være mulig å få så mye, kun ut av et personnummer. Som nevnt må man vise pass og annen personlig verifikasjon i dag.

Derimot er jo personnummer et steg for kriminelle i å forfalske id kort. 

[big_glasses]

Hvorfor skal norkart (privat tjeneste ref. Simen1) ha disse person opplysningene i det hele tatt?

[Pop]

7 minutes ago, big_glasses said:

Hvorfor skal norkart (privat tjeneste ref. Simen1) ha disse person opplysningene i det hele tatt?

Litt usikker på hvor i "årsak - virkning - kjeden" du vil ha svaret, men karttjeneste er altså satt ut på anbud, Norkart har vunnet runden og leverer da tjenesten hvor man har oversikt over eiendommer og hvem som eier dem. Typisk ikke en tjeneste man ser problem med å privatisere, utenom at man kan tenke seg at sikkerhet fort kan bli en nedvurdert post når man konkurrerer på pris i et åpent marked. 

Det er ikke nødvendigvis kun et problem for tilbyder som senker fokus på sikkerhet for å få ned prisen på anbudet sitt, men også på oppdragsgiver (her staten) som ikke er flinke nok til å bestille sikre tjenester, kanskje for lav bestillerkompetanse på nettopp it-system som ikke har sensitive data, men personopplysninger (etter lovens definisjoner).

[big_glasses]

11 minutes ago, Pop said:

--snip--

Tusen takk. Så en privatisert offentlig tjeneste. Misforsto den som en full privat tjeneste. 

 

Kan vel si at man er ikke veldig imponert over både norkart og staten her... 

edit: fat-fingra til tidlig sending... 

Endret 12. mai 2022 av big_glasses

[papa_m]

Håper så klart dette ikke dette får noen konsekvenser for noen, men om det skulle, håper jeg de er oppmerksomme på sin rett til erstatning i GDPR. Hadde vært interessant å få se en sånn sak domstolen.

[mobile999]

Norkart vil vel få milliarder i bot og gå konk.

Det er dessuten umulig å logge inn hos Bisnode og Experian for å sette kredittsperre. Man kan vel heller ikke regne med at de har satt alle kredittvurderinger på vent i denne krisen.

[Pop]

55 minutes ago, papa_m said:

Håper så klart dette ikke dette får noen konsekvenser for noen, men om det skulle, håper jeg de er oppmerksomme på sin rett til erstatning i GDPR. Hadde vært interessant å få se en sånn sak domstolen.

Ja, artikkel 82 åpner til en viss grad for noe slikt.

Samtidig kan det bli vanskelig å bevise at opplysningene kom herfra siden de kan finnes en del andre steder. Ingen tvil om at sammenstillingen her var gjort for de kriminelle så de sparte en del jobb. Men jeg antar at den virksomhet som åpner opp for kredittkort, lån og andre utbetalinger kun mot å oppgi p.nr. + navn/adr ville bli vel så ansvarlig, med tanke på altfor dårlig sikring fra sin side.