Talkmore: ID-tyverier og kjøpt opp av Telenor

[nomorebs]

Som tittelen sier, har Talkmore utsatt sine kunder for ID-tyveri ved å ikke sikre sine systemer godt nok. Nå er de anmeldt til politiet av Datatilsynet, som ikke skjer så ofte - så det understreker det alvorlig i saken. Talkmore har ikke informert kundene sine om at dette har skjedd, noe jeg finner svært mistenkelig. Hva har de å skjule? Burde de ikke informert kundene om at personlig informasjon var på avveie?

 

Av alle selskapene innblandet i personopplysningsskandalen, er det nå Talkmore som er plukket ut som aktøren som blir anmeldt.

http://www.nettavisen.no/it/article1441303.ece

 

I tillegg til det alvorlige ID-tyveriet, er Talkmore nå kjøpt opp av Telenor. Siden jeg har sverget dyrt og hellig på at jeg aldri noensinne igjen skal være kunde av Telenor, eller sørge for at Telenor får mine penger, er jeg nå på jakt etter ny operatør.

 

Hvilke operatører kan jeg velge mellom, hvor jeg slipper å føle Telenors klamme hånd?

 

Og kan jeg som privatperson anmelde Talkmore for å ha utlevert sensitive opplysninger uten å opplyse meg om det?

[Bengt Who]

Og kan jeg som privatperson anmelde Talkmore for å ha utlevert sensitive opplysninger uten å opplyse meg om det?

 

Alle og enhver kan anmelde saker. Der er det ingen begrensing. Men du må nok være klar over at saken din blir henlagt etter ti minutter. Så hvis tiden din ikke er verdt så mye kan du dra inn til lensmannen og anmelde forholdet for så å dra hjem for å vente på brevet om at saken er henlagt. Kanskje du heller skal bruke kreftene dine på å skaffe de ansvarlige litt ekstra med spam og telefonselgere.

[Jankee]

Trur du har misforstått totalt kva denne saka eigentleg gjaldt.

 

Ein svikt i frontenden hjå telefirmaene gjorde det mulig å så svar om fødselsnummeret eksisterte i statens system.

Dermed kunne aplikasjonene hente ut gyldige personnummer. Om personen var kunde av selskapet eller ikkje hadde ingen betydning. Det var ikkje deira interne datasystem som oppgav dataene, men frontend-appen viste svaret frå Altinn i klartekst.

 

Om no ditt personnummer var blant dei uthenta så:

Av 120.000 personnummer som blei henta ut frå ulike teleoperatører så stod talkmore for berre 20.000. At dei har gitt dine data ut er då veldig lite sanynleg altså 1/6 sjanse for at Talkmore var skyldig.

[nomorebs]

Trur du har misforstått totalt kva denne saka eigentleg gjaldt.

 

Ein svikt i frontenden hjå telefirmaene gjorde det mulig å så svar om fødselsnummeret eksisterte i statens system.

Dermed kunne aplikasjonene hente ut gyldige personnummer. Om personen var kunde av selskapet eller ikkje hadde ingen betydning. Det var ikkje deira interne datasystem som oppgav dataene, men frontend-appen viste svaret frå Altinn i klartekst.

 

Om no ditt personnummer var blant dei uthenta så:

Av 120.000 personnummer som blei henta ut frå ulike teleoperatører så stod talkmore for berre 20.000. At dei har gitt dine data ut er då veldig lite sanynleg altså 1/6 sjanse for at Talkmore var skyldig.

Totalt misforstått? Her må du utdype litt.... om frontend viser sensitive data i klartekst til uvedkommende er det selvsagt alvorlig.. eller mener du seriøst at dette er helt OK? Datatilsynet mener tydeligvis det motsatte, siden de faktisk velger å anmelde Talkmore - noe som ifølge Datatilsynet selv er et "drastisk steg".... hvorfor tror du de kun tar Talkmore og ikke de andre operatørene? Er neppe for moro skyld...

 

Tydeligvis var det ikke "bare" personnummer som ble hentet ut... i den samme artikkelen som jeg linket til står det følgende:

Talkmore var en av flere selskaper som i sommer fikk sine nettsider utnyttet av ukjente personer som fikk hentet ut blant annet fullt navn, adresse, personnummer og kredittverdighet.

Med et gyldig personnummer kan man gjøre mye faenskap. Når det er sagt, vet jeg jo ikke om mine opplysninger er kommet på avveie - nettopp fordi Talkmore har unnlatt å informere kundene sine - faktisk har det ikke kommet NOE info fra Talkmore overhodet. Og det er nettopp mangelen på informasjon som gjør at jeg er mistenkelig.. hva er det Talkmore IKKE forteller oss? Har de sagt noe som helst til de 20.000 kundene som er berørt? Er jeg blant de 20.000? Eller er det faktisk sånn at alle de 20.000 er uvitende om at sensitiv info er på avveie?

 

Jeg skal ihvertfall bytte operatør, uavhengig av denne ID-tyverisaken.... Talkmore eies nå av Telenor, og det er helt uaktuelt for meg å fylle Telenors lommer Det samme gjelder forøvrig 10 medlemmer i nær familie som nå skal bytte operatør fra Talkmore til noe annet.

[Jankee]

det eg meinte var kva data som blei vist, dataene kom fra Altinn, dermed kunne ein utnytte sjekken på fødselsnummeret til å hente ut andre data frå registerene og få dette tilbake, kredittstatus er det nok lindorff som har levert på brakgrunn av fødelelsnummeret.

I klartekst, det var ikkje dei interne kundedataene til Talkmore, Tele2 ...... som kom ut, men deira applikasjoner hadde ein bug som tillot å sende automatiserte forespursler gjennom systemet og få validert om eit fødselsnummer eksisterte eller ikkje. Rett go slett dei starta på 1 og arbeida seg oppover til ein fekk gyldige nummer og dermed skreiv alle gyldige til ei fil.

 

 

Eg har aldri sagt at dette ikkje er ulovleg eller tvilsomt, men at ein som netcomkunde hadde mykje større sjanse for å bli henta ut informasjon om gjennom dette feilen enn talkmore-kunde. Rett og slett fordu det er fleire netcomkunder enn telkmore. Og dette gjekk på scripting mot backendsystemet til altinn ( sidan feilen låg i frontenden til teleoperatørene så blei backenden til Altinn synleg, noko som er ein ganske alvorleg teknisk feil frå utviklerene av frontenden)

 

I tillegg dei 20.000 er av dei 120.000 som igjen er av 4.500.000 innbygger i Norge.

Dermed er sansynlegheiten for å ha blitt utsatt for denne svindelen er:

120.000/4.500.000 = 2.66% og i desse 2.66% så var talkmore skyld i 0.44%.

Så det er berre 0.44% sjanse for at dine data var blant dei som talkmore gav ut. Som sagt dataene som er blitt gitt ut har ingenting med deira kundedata.

 

I tillegg så skal talkmore vete kven som dei gav ut informasjon om, då kredittsjekken blir registert, dermed er det ein viss sansynlegheit for at desse berørte personana har fåttt noko beskjed. Eg ser ikkje argumenta for kvifor personer som ikkje er berørt av skandalen/svindelen skal få beskjed. For det er IKKJE 20.000 av Talkmores kunder som er blitt berørt

men 0.44% av norges befolkning har fått personnummerene sine gitt ut frå Talkmore.

Dette er ein vesentleg forskjell.

 

 

Skifte grunna eigaren av Talkmore har eg ingen behov om å kommentere utanom at når talkmore starta så sa eg at dei starter berre opp for å bli kjøpt opp. Og det stemte jo.

Endret 14. november 2007 av Jankee

[Lurifaksen]

Jeg må innrømme at jeg synes det er litt pussig at Datatilsynet bestemte seg for å kun anmelde én av slaurene, og da også velger en av de små, i stedet for f.eks. Tele2 som er et stort firma, og i tillegg var hovedsynderen i denne saken (så vidt jeg vet).

 

Btw, som allerede nevnt har ikke Talkmore sin feil noe med Talkmore sine kunder å gjøre. Dvs, Talkmore kan ikke bare "informere" de berørte om feilen. Og på toppen av det hele: De berørte er allerede varslet - alle som har blitt berørt har fått tilsendt et brev som sier at Talkmore har utført en kredittsjekk av de.

[cyclo]

Lurifaksen: Enig med deg der.

 

Jeg synes også at det er snodig at altinn ikke har fått en kraftig smekk. Jeg mener, herregud, gi ulik response på innloggingsforsøk, henholdsvis "Ugyldig personnummer" og "Feil passord" er jo en tabbe av store dimensjoner. Dette er jo omtrent første kapitel kunnskap fra "security 101", og en amatørtabbe av store dimensjoner. Det er helt absurd at en statlig side for "folket" inneholder så grover og amatørmessige sikkerhetsfeil.

 

Men sånn er det vell når "storebror" blir satt til å passe på "størrebror", de verner om sine egne.

[Lurifaksen]

w00t? Jeg har ikke en gang fått med meg altinn.no sin rolle her, men om det vikelig stemmer at det er denne siden som er brukt til å validere personnumrene så er jo det egentlig en større skandale enn at et lite firma som Talkmore har slurvet...

[Jankee]

Smekken ligger på teleoperatørene si side då Altinn gjer nok akkurat den den skal, den svarer ugyldig fødselsnummer når den får feil ugyldige nummer inn, men det er ikkje nettsdia Altinn men eit B2B-system som ligger i altinn-systemet.

 

Slik at operatørene ikkje oppretter kunder på feile fødselsnummer og feile opplysninger. Problemet her er at teleoperatørene ikkje har lagt noko begrensning /synliggjort B2B-grensesnittet til Altinn. Dermed har folk fått laga script som utnytter teleoperatørenes autorisering mot Altinns B2B-system til hente ut dataene.

Å skylde på altinn for dette blir litt som å montere ein minibank feil vei og skylde på produsenten når den blei tømt for penger.

 

Alternativet er at ingen søknader kan utføres på nett men må på papir då me ikkje kan bruke Altinns B2B-grensesnitt.

 

Er enig i at det er veldig rat at det er berre Talkmore som skal få smekken, Tele2 hadde jo akkurat same problematikken.

Ut frå artikkelen så kan det tyde på at Talkmore får denne smekken fordi utnyttinga av deira system først skjedde etter at dei var blitt gjort oppmerksomme på problemet. Dermed er det nok mangelen handling som utløyser smekken og ikkje feilen i seg sjølv.

Endret 15. november 2007 av Jankee

[cyclo]

jankee: Det var ikke slik du beskriver scriptet jeg så fungerte. Det fungerte som følgende:

 

1) Genererer en lite over potensielle fødselsnummer

2) Kontrollerer disse opp mot altinns webside for å sjekke om de eksisterer eller ikke

3) Lister av ekisterende fødselsnummer brukes da på Tele2 webside for å hente ut personinformasjon.

 

Scriptet utnyttet 2 feil:

1) Feilen hos altinn som lar deg sjekke om et fødselsnummeret er i bruk eller ikke (Det hullet er fortsatt åpent)

2) Feilen hos tele2/talkmore/etc. som automatisk hentet opplysninger som navn, adresse, mv. når man oppgav fødselsnummer.

 

Altinn sin rolle i dette var altså selve vaskejobben. Skille personnummer som ikke var i bruk fra personnummer som var i bruk.

 

Lurifaksen: Jeg tror forresten at du tar feil angående at folk er varslet via at de får brev om kredittsjekk. Trinnet som henter ut personopplysningene (navn, adresse, m.v.) lå før kredittsjekktrinnet og ble hentet ut fra folkeregisteret.

Endret 15. november 2007 av cyclo

[Jankee]

Om Altinn står fullstendig åpen iforhold til slike "vaskejobber" så er vel der første punkt som bør tiltalast. ein setter ikkje åpent eit slikt system for allmuen. Ikkje har folk brukt for det og dei som bruker det så er det til potensielt misbruk.

Hadde forstått det slik at dette var eit b2b-system som bekrefta f.nummeren, ikkje at den screenscapa altinns webside.

Då slikt er ekstermt enkelt å forhindre.

[cyclo]

Jupp. Helt konkret:

 

1) Gå til denne siden (standard login på altinn med bruk av pin kode fra skattekortet)

 

2) Tast inn et tilfeldig valgt fødselsnummer

 

Dersom fødselsnummeret er i bruk blir du bedt om å taste inn pin kode.

 

Dersom fødselsnummeret ikke er i bruk får du følgende melding:

 

No one was found with this personal identification number. Please check your personal identification number and try again. Your personal identification number must be entered as 11 numbers without any spaces.

 

Det tar ca. 5 minutter å skrive et perl script som automatiserer dette.

Endret 15. november 2007 av cyclo

[Jankee]

Satan den muligheiten er jo faen så enkel å løyse med å validere med pin før ein får lasta inn/ sjekker dben etter brukaren.

 

Slike feil var meir vanlege på 80-tallsapper enn system frå etter 2000. Når det gjeld resten av infoen er vel det altinn (eller nokon av søstersystemene) som gir dette også men då igjennom teleoperatørenes autoriseringssystem mot B2B-systemet.

[Lurifaksen]

Lurifaksen: Jeg tror forresten at du tar feil angående at folk er varslet via at de får brev om kredittsjekk. Trinnet som henter ut personopplysningene (navn, adresse, m.v.) lå før kredittsjekktrinnet og ble hentet ut fra folkeregisteret.

Nå vurderte jeg å teste dette scriptet som ble publisert, for å se om det faktisk fungerte, men var redd for at det ble sendt ut kredittvurdringer. Så bare for å sjekke hva som skjedde når jeg oppgav mitt personnummer på en av de nevnte sidene la jeg inn mitt nummer. Og ganske riktig, etter et par dager kom det et kredittvurdings-brev i posten... Så jeg kan ikke skjønne annet enn at alle oppslag på personnummer som ble gjort på disse nettsidene ble automatisk sendt ut varsel til.

Endret 15. november 2007 av Lurifaksen

[cyclo]

Lurifaksen: Det er bra. Men hvor langt i prosessen gikk du? Jeg antok liksom at kredittsjekken ikke ble gjennomført før siste trinn før bekreft (siden man tross alt betaler for hver eneste kredittsjekk), men det kan godt tenkes at jeg tar feil.

 

Kredittsjekk og henting av personopplysninger er jo i utgangspunktet to helt ulike ting. Førstnevnte går via API-et til et kredittvurderingsselskap, og sistnevnte går via API-et til folkeregisteret. Men dersom alle selskapene som hadde hull faktisk har gjort disse to tingene i samme trinn av bestillingsprosessen, så vil alle ha mottatt kredittvarsel, og det er bra

Endret 15. november 2007 av cyclo

[Lurifaksen]

Ja, jeg tastet bare inn personnummer, og trykket neste. Da var det gjort... Og navn/adressen min var automatisk blitt fyllt inn i bestillingsskjemaet. Naturligvis helt håpløst dårlig å ikke kreve noen flere opplysninger for å gjøre et søk - hele problemet ville vært så godt som eliminert bare ved noe så enkelt som å kreve etternavn i tillegg til personnummer før oppslaget ble gjort.

[Jankee]

tingen er vel at når eit gylig personnummer blei sendt inn til teleoperatørene så tok deira system hand om opplysningene og då i same operasjon utførte eit datasøk mot folkeregisteret og ein suplerande kredittsøk før ein gjorde gjorde bestillingskjemaet klart for kunden.

Når desse scripta blei kjørt så utnytta jo dei teleoperatørenes API som har muligheiten til å snakke med folkeregisteret og kredittselskapene via B2B.