Kripos mangler lovhjemmel for razziaer i Tele2-
Kripos: Hannemyr tar feil
FIKK BESLAGLAGT UTSTYR: Lasse Haugen (22) fikk datautstyr beslaglagt av Kripos i forrige uke. Han sier at han ikke har brukt programmet som henter informasjon fra Tele2 og Altinn.
Foto: Privat
FAKTA
Les de andre artiklene om programmet og datasikkerhet:
Kripos raidet leiligheten til Lasse (22)
«Lars» (16) kan tømme Folkeregisteret fra gutterommet
Tele2: - Systemet åpner for svindel
Nettmøte med Datatilsynet: - Personnummeret ditt videreselges av kriminelle
Hvordan er fødselsnummeret bygget opp?
Fødselsnummer består av elleve siffer. De seks første sifrene angir personens fødselsdato i rekkefølge: fødselsdag, måned og år.
De fem siste sifrene kalles personnummer. De tre første sifrene i personnummeret kalles individnummer og tildeles fortløpende innen den enkelte fødselsdato.
Slik jobber programmet:
•Sjekker personnummere
Programmet ligger fritt tilgjengelig på nettet og kan lastes ned av hvem som helst. På Altinn.no, en portal for bedrifter og store deler av det offentlige Norge, er det mulig å logge seg inn ved hjelp av personnummer og en pinkode.
Om du taster inn et ikke-eksisterende fødselsnummer vil det komme en feilmelding. Om fødselsnummeret er "gyldig" vil du bli sendt videre. Programmet automatiserer denne funksjonen og sjekker flere tusen mulige kombinasjoner. Ifølge Altinn er det ikke mulig for programmet å finne ut om fødselsnumrene faktisk er i bruk.
•Fødselsnummeret finner et navn
På flere selskapers hjemmesider blir du bedt om å taste inn fødselsnummeret ditt for å bestille abonnement. Når det er gjort vil personinformasjon, som navn, adresse og postnummer komme opp på skjermen. Da kan fødselsnummeret kobles til navn, og programmet, som automatiserer denne prosessen, legger informasjonen sammen.
•Sender personnummer til Tele2
Dataprogrammet Dagbladet.no har testet sendte alle personnumre som stemmer til Tele2 sine sider for nye kunder.
Her ble personnumrene brukt til å registrere et ønske om kjøp av abonnement. Når det gjøres dukker adresser og navn opp på skjermen. Disse hentet programmet ut fra sidene og organiserte ryddig i kolonner, lett leselig for brukeren.
Alt som trengtes var en tilfeldig fødselsdato. Med denne får du en liste med personnummer og bostedsadresse til alle nordmenn født på denne dagen.
På flere selskapers hjemmesider blir du bedt om å taste inn fødselsnummeret ditt for å bestille abonnement. Når det er gjort vil personinformasjon, som navn, adresse og postnummer komme opp på skjermen. Da kan fødselsnummeret kobles til navn, og programmet, som automatiserer denne prosessen, legger informasjonen sammen.
Straffeloven § 145:
Den som uberettiget bryter brev eller annet lukket skrift eller på liknende måte skaffer seg adgang til innholdet, eller baner seg adgang til en annens låste gjemmer, straffes med bøter eller med fengsel inntil 6 måneder eller begge deler.
Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler.
Voldes skade ved erverv eller bruk av slik uberettiget kunnskap, eller er forbrytelsen forøvet i hensikt å skaffe noen en uberettiget vinning, kan fengsel inntil 2 år anvendes.
Medvirkning straffes på samme måte.
Offentlig påtale finner bare sted når allmenne hensyn krever det.
(Kilder: Dagbladet.no, Datatilsynet, lovdata.no)
Kripos raidet leiligheten til Lasse (22)
«Lars» (16) kan tømme Folkeregisteret fra gutterommet
Tele2: - Systemet åpner for svindel
Nettmøte med Datatilsynet: - Personnummeret ditt videreselges av kriminelle
Hvordan er fødselsnummeret bygget opp?
Fødselsnummer består av elleve siffer. De seks første sifrene angir personens fødselsdato i rekkefølge: fødselsdag, måned og år.
De fem siste sifrene kalles personnummer. De tre første sifrene i personnummeret kalles individnummer og tildeles fortløpende innen den enkelte fødselsdato.
Slik jobber programmet:
•Sjekker personnummere
Programmet ligger fritt tilgjengelig på nettet og kan lastes ned av hvem som helst. På Altinn.no, en portal for bedrifter og store deler av det offentlige Norge, er det mulig å logge seg inn ved hjelp av personnummer og en pinkode.
Om du taster inn et ikke-eksisterende fødselsnummer vil det komme en feilmelding. Om fødselsnummeret er "gyldig" vil du bli sendt videre. Programmet automatiserer denne funksjonen og sjekker flere tusen mulige kombinasjoner. Ifølge Altinn er det ikke mulig for programmet å finne ut om fødselsnumrene faktisk er i bruk.
•Fødselsnummeret finner et navn
På flere selskapers hjemmesider blir du bedt om å taste inn fødselsnummeret ditt for å bestille abonnement. Når det er gjort vil personinformasjon, som navn, adresse og postnummer komme opp på skjermen. Da kan fødselsnummeret kobles til navn, og programmet, som automatiserer denne prosessen, legger informasjonen sammen.
•Sender personnummer til Tele2
Dataprogrammet Dagbladet.no har testet sendte alle personnumre som stemmer til Tele2 sine sider for nye kunder.
Her ble personnumrene brukt til å registrere et ønske om kjøp av abonnement. Når det gjøres dukker adresser og navn opp på skjermen. Disse hentet programmet ut fra sidene og organiserte ryddig i kolonner, lett leselig for brukeren.
Alt som trengtes var en tilfeldig fødselsdato. Med denne får du en liste med personnummer og bostedsadresse til alle nordmenn født på denne dagen.
På flere selskapers hjemmesider blir du bedt om å taste inn fødselsnummeret ditt for å bestille abonnement. Når det er gjort vil personinformasjon, som navn, adresse og postnummer komme opp på skjermen. Da kan fødselsnummeret kobles til navn, og programmet, som automatiserer denne prosessen, legger informasjonen sammen.
Straffeloven § 145:
Den som uberettiget bryter brev eller annet lukket skrift eller på liknende måte skaffer seg adgang til innholdet, eller baner seg adgang til en annens låste gjemmer, straffes med bøter eller med fengsel inntil 6 måneder eller begge deler.
Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler.
Voldes skade ved erverv eller bruk av slik uberettiget kunnskap, eller er forbrytelsen forøvet i hensikt å skaffe noen en uberettiget vinning, kan fengsel inntil 2 år anvendes.
Medvirkning straffes på samme måte.
Offentlig påtale finner bare sted når allmenne hensyn krever det.
(Kilder: Dagbladet.no, Datatilsynet, lovdata.no)
(Dagbladet.no): I går skrev vi om Lasse (22), som var en av fire som fikk datautstyr beslaglagt av Kripos forrige uke.
Razziaene mot ham og tre andre ble gjort på bakgrunn av en anmeldelse for brudd på straffelovens § 145, fra teleoperatøren Tele2. De mener brukerne av et dataoprogram som har utnyttet et sikkerhetshull hos teleoperatøren og altinn.no, har begått datainnbrudd.
- Har ikke hjemmel i loven
Dataprogrammene kan lage lister over fødselsnumre, og hente de tilhørende navnene og adressene fra teleoperatøren.
Internettekspert og universitetslektor Gisle Hannemyr mener razziaene som Kripos har gjennomført, ikke har noen hjemmel i loven. Straffeloven § 145, den såkalte hackerparagrafen, kan nemlig ikke benyttes i dette tilfellet, mener han.
- Loven forutsetter at man har brutt en form for beskyttelse. Når tjenesten ligger der, og det ikke eksisterer noen sperrer i form av passord eller lignende, kan det ikke kalles datainnbrudd, sier Hannemyr til Dagbladet.no.
Denne måten å benytte loven på, er blant annet slått fast i en høyesterettsdom.
- Det virker som om Kripos ikke kjenner til rettskilden, og at aksjonen er gjort uten hjemmel i loven. Det synes jeg er alvorlig, og bryter med prinsippene i en rettsstat, sier Hannemyr.
- Utgjør det noen forskjell i forhold til loven om man benytter programmet til å utnytte dette sikkerhetshullet?
- Nei, man kan gjøre nøyaktig det samme hos Tele2 manuelt. Programmet bare automatiserer denne prosessen, sier Hannemyr.
- Uansvarlig av Tele2
Han mener det er Tele2 som er lovbryterne i denne saken, og at de ikke har behandlet opplysninger etter Personopplysningsloven. Han påpeker også at Tele2 ikke gjorde noe med sikkerhetshullet fra september 2006, da Datatilsynet uttrykte bekymring for praksisen, til august 2007, etter at hullet hadde blitt utnyttet til å innhente personopplysninger fra mange nordmenn.
Ifølge Bergens Tidende ble opplysninger om mellom 50.000 og 60.000 personer hentet ut via nettsiden til Tele2 mellom 28. og 30. juli.
- At sikkerhetshullet ble stående åpent så lenge, er helt hårreisende uforsvarlig. Tele2 ble også anmeldt i forbindelse med denne saken, men politiet har henlagt den anmeldelsen. Det synes jeg er en merkelig prioritering fra politiets side, sier han.
Hentet opplysninger fra over 100 000
Datatilsynet frykter at organiserte kriminelle har benyttet dette sikkerhetshullet, og sikkerhetshull hos andre teleoperatører, til å skaffe seg personopplysninger fra over 100000 nordmenn.
– Noen sitter på en database på over 100.000 navn med adresser, fødselsnummer og kredittsjekk, sier avdelingsdirektør Leif T. Aanensen i Datatilsynet til Bergens Tidende.
Datatilsynet har ingen holdepunkter for at det virkelig er organiserte kriminelle som står bak dette.
Hannemyr synes ikke det utgjør noen forskjell om Kripos gjennomførte razziaene for å finne folk som har benyttet programmet mye eller lite.
- Kripos trenger hjemmel i loven uansett om de ser etter organiserte kriminelle, så det har jeg ingen forståelse for, sier Hannemyr.
Anbefal artikkelen via e-post
Anbefal artikkelen via mobil
Skriv ut artikkelen