Alt du trenger for å stjele naboens personnummer er navn og fødselsdato.
(Dagbladet.no): Med et lite program som ligger fritt tilgjengelig på internett kan man skaffe til veie all informasjon man trenger for å stjele naboens identitet. Programmet generer korrekte fødselsnumre, og sporer opp tilhørende navn og adresse ved å utnytte den statlige nettportalen Altinn.no og mobiloperatøren Tele2.no.
- Jeg lagde programmet for å vise hva som er mulig å gjøre slik dette kan bli endret, sier opphavsmannen «Lars» (16) til Dagbladet.no.
Alt en trenger å vite er vedkommendes fødselsdato og navn. Les Datatilsynets informasjon om personnumre.
Informasjonsdirektør Ove Skåra i Datatilsynet er ikke klar over at denne typen programvare finnes på nettet når Dagbladet.no ringer ham.
- Nei det visste vi ikke, men dette viser hvor lett det er. Nå må de som gjør dette mulig ta bort skylappene og bedre sikkerheten. Denne informasjonen kan brukes av kriminelle, sier han.
Fødselsnummeret kan brukes til å «stjele» andres identitet, og svindle store beløp fra ofrene. Les hvordan programmet fungerer i faktaboksen til høyre i saken.
Drøm for kriminelle
For en kriminell og svindler er det en drømmesituasjon. Han eller hun kan omadressere post, bestille kredittkort eller identifikasjonspapirer og ta opp lån i vedkommendes navn.
Og med systematisk innhenting av data er det lett for kriminelle å skaffe mye informasjon om mange folk.
- Når de kan sjekke kredittverdighet og sånne ting blir det veldig interessant for dem, sier Skåra.
Han tror slik informasjon fort vil være en salgsvare i det kriminelle miljøet.
- Vinningskriminelle kan enkelt velge seg ut rike eller attraktive ofre.
Fant eget fødselsnummer
Dagbladet.no har testet programmet, som skaffer til veie personnummer, adresse og fullt navn på den man måtte ønske.
Ved å søke på en fødselsdato får brukeren opp personalia på alle med norsk fødselsnummer født på den aktuelle datoen. Det gikk raskt å finne undertegnedes fødselsnummer, det samme gjelder flere norske samfunnstopper.
En bruker på et nettforum der programmet blir diskurert, sier til Dagbladet.no at oppmerksomheten rundt programmet har vært enorm.
- Det er lenket til på nettsider som har mange tusen besøkende hvert døgn, sier brukeren Marcus.
Dagbladet.no kjenner til at programmet allerede er videreutviklet av andre nettbrukere.
Marcus frykter ikke at de vanlige brukerne av nettstedet skal bruke programmet til egen vinning, men mener det avslører grunnleggende sikkerhetsproblemer hos norske selskaper og at det trengs store endringer for å lage sikrere systemer for kundene.
- I dag setter de kundene og privatlivet deres i fare, sier han.
Ble informert av media
Da Dagbladet.no tok kontakt med Altinn i formiddag var sentralforvaltningen ikke kjent med at tjenesten blir misbrukt av det lille dataprogrammet.
- Før i dag visste jeg ikke at det fantes muligheter på nettet til å utnytte fødselsnummer til å få navn og adresse på denne måten, sier avdelingsdirektør Håkon Olderbakk i Brønnøysundregistrene.
Ifølge ham tester Altinns innlogging kun om fødselsnummeret som tastes inn er riktig i forhold til hvordan fødselsnumre er bygd opp generelt, og ikke om det faktisk er knyttet til en levende person.
Den algoritmen er ikke hemmelig, og brukes på tilsvarende måte flere steder, blant annet hos minst én nettbank.
Det kan bety at det omtalte programmet, som distribueres med åpen kildekode, lett kan skrives om til å fungere via en annen nettside eller ved bruk av selve algoritmen uavhengig av Altinn. I så fall ligger problemet i hovedsak hos Tele 2.
Altinn vil likevel trolig endre sin innloggingsprosedyre.
- Det er grunn til å tro at programmet du viser til vil fungere uten våre løsninger. Men etter å ha satt oss inn i problemet, vil vi vurdere å fjerne denne delen av Altinns innlogging. Det er en service å gi brukerne beskjed om at det har blitt tastet feil, men det er ikke sikkert den er nødvendig i sin nåværende form, sier Olderbakk.
Han ser ikke på programmet som en sikkerhetsrisiko for selve Altinn, siden det kreves pinkoder for å komme videre i innloggingen.
TELE2 GIR BORT NAVN OG ADRESSE: Etter at programmet finner et gyldig personnummer ber det Tele2 om å oppgi personalia. På bildet har journalisten skrevet inn sitt eget personnummer og hentet den samme informasjonen selv.
FAKTA
Hva er fødselsnummer?
Fødselsnummeret består av fødselsdato (første 6 siffer) og personnummer (siste 5 siffer), altså totalt 11 siffer.
Slik jobber programmet:
Sjekker personnummere
Programmet ligger fritt tilgjengelig på nettet og kan lastes ned av hvem som helst. På Altinn.no, en portal for bedrifter og store deler av det offentlige Norge, er det mulig å logge seg inn ved hjelp av personnummer og en pinkode.
Om du taster inn et ikke-eksisterende fødselsnummer vil det komme en feilmelding. Om fødselsnummeret er "gyldig" vil du bli sendt videre. Programmet automatiserer denne funksjonen og sjekker flere tusen mulige kombinasjoner. Ifølge Altinn er det ikke mulig for programmet å finne ut om fødselsnumrene faktisk er i bruk.
Fødselsnummeret finner et navn
På flere selskapers hjemmesider blir du bedt om å taste inn fødselsnummeret ditt for å bestille abonnement. Når det er gjort vil personinformasjon, som navn, adresse og postnummer komme opp på skjermen. Da kan fødselsnummeret kobles til navn, og programmet, som automatiserer denne prosessen, legger informasjonen sammen.
Sender personnummer til Tele2
Dataprogrammet Dagbladet.no har testet sendte alle personnumre som stemmer til Tele2 sine sider for nye kunder.
Her ble personnumrene brukt til å registrere et ønske om kjøp av abonnement. Når det gjøres dukker adresser og navn opp på skjermen. Disse hentet programmet ut fra sidene og organiserte ryddig i kolonner, lett leselig for brukeren.
Alt som trengtes var en tilfeldig fødselsdato. Med denne får du en liste med personnummer og bostedsadresse til alle nordmenn født på denne dagen.
På flere selskapers hjemmesider blir du bedt om å taste inn fødselsnummeret ditt for å bestille abonnement. Når det er gjort vil personinformasjon, som navn, adresse og postnummer komme opp på skjermen. Da kan fødselsnummeret kobles til navn, og programmet, som automatiserer denne prosessen, legger informasjonen sammen.
Sender personnummer til Tele2
Dataprogrammet Dagbladet.no har testet sendte alle personnumre som stemmer til Tele2 sine sider for nye kunder.
Her ble personnumrene brukt til å registrere et ønske om kjøp av abonnement. Når det gjøres dukker adresser og navn opp på skjermen. Disse hentet programmet ut fra sidene og organiserte ryddig i kolonner, lett leselig for brukeren.
Alt som trengtes var en tilfeldig fødselsdato. Med denne får du en liste med personnummer og bostedsadresse til alle nordmenn født på denne dagen.
Fødselsnummeret består av fødselsdato (første 6 siffer) og personnummer (siste 5 siffer), altså totalt 11 siffer.
Fødselsnummeret er ikke regnet som en sensitiv opplysning. Det er likevel underlagt spesiell beskyttelse. For eksempel er det ikke lov å bruke fødselsnummeret dersom det samme kan oppnås på en annen måte.
Når skal det brukes?
Fødselsnummer kan bare brukes når det er saklig behov, og når det er umulig å oppnå tilfredstillende identifikasjon ved bruk av andre metoder, som for eksempel navn, adresse, fødselsdato, medlems- eller kundenummer. (Personopplysningsloven § 12)
Hvordan er fødselsnummeret bygget opp?
Fødselsnummer består av elleve siffer. De seks første sifrene angir personens fødselsdato i rekkefølge: fødselsdag, måned og år.
De fem siste sifrene kalles personnummer. De tre første sifrene i personnummeret kalles individnummer og tildeles fortløpende innen den enkelte fødselsdato.
Fra 750-500 omfatter personer født fra 1850-1899
499-000 omfatter personer født 1900-1999
999-500 omfatter personer født 2000-2049
Det tredje sifferet i personnummeret forteller noe om kjønn. Kvinner har like tall (partall), mens menn har ulike tall (oddetall).
Kilde: Datatilsynet
Slik jobber programmet:
Programmet ligger fritt tilgjengelig på nettet og kan lastes ned av hvem som helst. På Altinn.no, en portal for bedrifter og store deler av det offentlige Norge, er det mulig å logge seg inn ved hjelp av personnummer og en pinkode.
Om du taster inn et ikke-eksisterende fødselsnummer vil det komme en feilmelding. Om fødselsnummeret er "gyldig" vil du bli sendt videre. Programmet automatiserer denne funksjonen og sjekker flere tusen mulige kombinasjoner. Ifølge Altinn er det ikke mulig for programmet å finne ut om fødselsnumrene faktisk er i bruk.
Fødselsnummeret finner et navn
På flere selskapers hjemmesider blir du bedt om å taste inn fødselsnummeret ditt for å bestille abonnement. Når det er gjort vil personinformasjon, som navn, adresse og postnummer komme opp på skjermen. Da kan fødselsnummeret kobles til navn, og programmet, som automatiserer denne prosessen, legger informasjonen sammen.
Sender personnummer til Tele2
Dataprogrammet Dagbladet.no har testet sendte alle personnumre som stemmer til Tele2 sine sider for nye kunder.
Her ble personnumrene brukt til å registrere et ønske om kjøp av abonnement. Når det gjøres dukker adresser og navn opp på skjermen. Disse hentet programmet ut fra sidene og organiserte ryddig i kolonner, lett leselig for brukeren.
Alt som trengtes var en tilfeldig fødselsdato. Med denne får du en liste med personnummer og bostedsadresse til alle nordmenn født på denne dagen.
På flere selskapers hjemmesider blir du bedt om å taste inn fødselsnummeret ditt for å bestille abonnement. Når det er gjort vil personinformasjon, som navn, adresse og postnummer komme opp på skjermen. Da kan fødselsnummeret kobles til navn, og programmet, som automatiserer denne prosessen, legger informasjonen sammen.
Sender personnummer til Tele2
Dataprogrammet Dagbladet.no har testet sendte alle personnumre som stemmer til Tele2 sine sider for nye kunder.
Her ble personnumrene brukt til å registrere et ønske om kjøp av abonnement. Når det gjøres dukker adresser og navn opp på skjermen. Disse hentet programmet ut fra sidene og organiserte ryddig i kolonner, lett leselig for brukeren.
Alt som trengtes var en tilfeldig fødselsdato. Med denne får du en liste med personnummer og bostedsadresse til alle nordmenn født på denne dagen.
- Jeg lagde programmet for å vise hva som er mulig å gjøre slik dette kan bli endret, sier opphavsmannen «Lars» (16) til Dagbladet.no.
Alt en trenger å vite er vedkommendes fødselsdato og navn. Les Datatilsynets informasjon om personnumre.
Informasjonsdirektør Ove Skåra i Datatilsynet er ikke klar over at denne typen programvare finnes på nettet når Dagbladet.no ringer ham.
- Nei det visste vi ikke, men dette viser hvor lett det er. Nå må de som gjør dette mulig ta bort skylappene og bedre sikkerheten. Denne informasjonen kan brukes av kriminelle, sier han.
Fødselsnummeret kan brukes til å «stjele» andres identitet, og svindle store beløp fra ofrene. Les hvordan programmet fungerer i faktaboksen til høyre i saken.
Drøm for kriminelle
For en kriminell og svindler er det en drømmesituasjon. Han eller hun kan omadressere post, bestille kredittkort eller identifikasjonspapirer og ta opp lån i vedkommendes navn.
Og med systematisk innhenting av data er det lett for kriminelle å skaffe mye informasjon om mange folk.
- Når de kan sjekke kredittverdighet og sånne ting blir det veldig interessant for dem, sier Skåra.
Han tror slik informasjon fort vil være en salgsvare i det kriminelle miljøet.
- Vinningskriminelle kan enkelt velge seg ut rike eller attraktive ofre.
Fant eget fødselsnummer
Dagbladet.no har testet programmet, som skaffer til veie personnummer, adresse og fullt navn på den man måtte ønske.
Ved å søke på en fødselsdato får brukeren opp personalia på alle med norsk fødselsnummer født på den aktuelle datoen. Det gikk raskt å finne undertegnedes fødselsnummer, det samme gjelder flere norske samfunnstopper.
En bruker på et nettforum der programmet blir diskurert, sier til Dagbladet.no at oppmerksomheten rundt programmet har vært enorm.
- Det er lenket til på nettsider som har mange tusen besøkende hvert døgn, sier brukeren Marcus.
Dagbladet.no kjenner til at programmet allerede er videreutviklet av andre nettbrukere.
Marcus frykter ikke at de vanlige brukerne av nettstedet skal bruke programmet til egen vinning, men mener det avslører grunnleggende sikkerhetsproblemer hos norske selskaper og at det trengs store endringer for å lage sikrere systemer for kundene.
- I dag setter de kundene og privatlivet deres i fare, sier han.
Ble informert av media
Da Dagbladet.no tok kontakt med Altinn i formiddag var sentralforvaltningen ikke kjent med at tjenesten blir misbrukt av det lille dataprogrammet.
- Før i dag visste jeg ikke at det fantes muligheter på nettet til å utnytte fødselsnummer til å få navn og adresse på denne måten, sier avdelingsdirektør Håkon Olderbakk i Brønnøysundregistrene.
Ifølge ham tester Altinns innlogging kun om fødselsnummeret som tastes inn er riktig i forhold til hvordan fødselsnumre er bygd opp generelt, og ikke om det faktisk er knyttet til en levende person.
Den algoritmen er ikke hemmelig, og brukes på tilsvarende måte flere steder, blant annet hos minst én nettbank.
Det kan bety at det omtalte programmet, som distribueres med åpen kildekode, lett kan skrives om til å fungere via en annen nettside eller ved bruk av selve algoritmen uavhengig av Altinn. I så fall ligger problemet i hovedsak hos Tele 2.
Altinn vil likevel trolig endre sin innloggingsprosedyre.
- Det er grunn til å tro at programmet du viser til vil fungere uten våre løsninger. Men etter å ha satt oss inn i problemet, vil vi vurdere å fjerne denne delen av Altinns innlogging. Det er en service å gi brukerne beskjed om at det har blitt tastet feil, men det er ikke sikkert den er nødvendig i sin nåværende form, sier Olderbakk.
Han ser ikke på programmet som en sikkerhetsrisiko for selve Altinn, siden det kreves pinkoder for å komme videre i innloggingen.
Anbefal artikkelen via e-post
Anbefal artikkelen via mobil
Skriv ut artikkelen