«Lars» (16) kan tømme Folkeregisteret fra gutterommet

Alt du trenger for å stjele naboens personnummer er navn og fødselsdato.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet.no): Med et lite program som ligger fritt tilgjengelig på internett kan man skaffe til veie all informasjon man trenger for å stjele naboens identitet. Programmet generer korrekte fødselsnumre, og sporer opp tilhørende navn og adresse ved å utnytte  den statlige nettportalen Altinn.no og mobiloperatøren Tele2.no.

- Jeg lagde programmet for å vise hva som er mulig å gjøre slik dette kan bli endret, sier opphavsmannen «Lars» (16) til Dagbladet.no.

Alt en trenger å vite er vedkommendes fødselsdato og navn. Les Datatilsynets informasjon om personnumre.

Informasjonsdirektør Ove Skåra i Datatilsynet er ikke klar over at denne typen programvare finnes på nettet når Dagbladet.no ringer ham.

- Nei det visste vi ikke, men dette viser hvor lett det er. Nå må de som gjør dette mulig ta bort skylappene og bedre sikkerheten. Denne informasjonen kan brukes av kriminelle, sier han.

Fødselsnummeret kan brukes til å «stjele» andres identitet, og svindle store beløp fra ofrene. Les hvordan programmet fungerer i faktaboksen til høyre i saken.

Drøm for kriminelle

For en kriminell og svindler er det en drømmesituasjon. Han eller hun kan omadressere post, bestille kredittkort eller identifikasjonspapirer og ta opp lån i vedkommendes navn.

TØMMER FOLKEREGISTERT FRA GUTTEROMMET: «Lars» (16) som har laget programmet advarer mot å bruke det til kriminelle hensikter, men er sjokkert over hvor lett det var. Her får han opp fødsel- og personnummeret til alle nordmenn som er født 01.01. 1976. - Jeg kan ta over livet ditt, sier han til Dagbladet.nos journalist. Foto: Privat
TØMMER FOLKEREGISTERT FRA GUTTEROMMET: «Lars» (16) som har laget programmet advarer mot å bruke det til kriminelle hensikter, men er sjokkert over hvor lett det var. Her får han opp fødsel- og personnummeret til alle nordmenn som er født 01.01. 1976. - Jeg kan ta over livet ditt, sier han til Dagbladet.nos journalist. Foto: Privat Vis mer

Og med systematisk innhenting av data er det lett for kriminelle å skaffe mye informasjon om mange folk.

- Når de kan sjekke kredittverdighet og sånne ting blir det veldig interessant for dem, sier Skåra.

Han tror slik informasjon fort vil være en salgsvare i det kriminelle miljøet.

- Vinningskriminelle kan enkelt velge seg ut rike eller attraktive ofre.

Fant eget fødselsnummer
Dagbladet.no har testet programmet, som skaffer til veie personnummer, adresse og fullt navn på den man måtte ønske.

Ved å søke på en fødselsdato får brukeren opp personalia på alle med norsk fødselsnummer født på den aktuelle datoen. Det gikk raskt å finne undertegnedes fødselsnummer, det samme gjelder flere norske samfunnstopper.

En bruker på et nettforum der programmet blir diskurert, sier til Dagbladet.no at oppmerksomheten rundt programmet har vært enorm.

- Det er lenket til på nettsider som har mange tusen besøkende hvert døgn, sier brukeren Marcus.

Dagbladet.no kjenner til at programmet allerede er videreutviklet av andre nettbrukere. 

«Lars» (16) kan tømme Folkeregisteret fra gutterommet

Marcus frykter ikke at de vanlige brukerne av nettstedet skal bruke programmet til egen vinning, men mener det avslører grunnleggende sikkerhetsproblemer hos norske selskaper og at det trengs store endringer for å lage sikrere systemer for kundene.

- I dag setter de kundene og privatlivet deres i fare, sier han.

Ble informert av media
Da Dagbladet.no tok kontakt med Altinn i formiddag var sentralforvaltningen ikke kjent med at tjenesten blir misbrukt av det lille dataprogrammet.

- Før i dag visste jeg ikke at det fantes muligheter på nettet til å utnytte fødselsnummer til å få navn og adresse på denne måten, sier avdelingsdirektør Håkon Olderbakk i Brønnøysundregistrene.

Ifølge ham tester Altinns innlogging kun om fødselsnummeret som tastes inn er riktig i forhold til hvordan fødselsnumre er bygd opp generelt, og ikke om det faktisk er knyttet til en levende person.

Den algoritmen er ikke hemmelig, og brukes på tilsvarende måte flere steder, blant annet hos minst én nettbank.

Det kan bety at det omtalte programmet, som distribueres med åpen kildekode, lett kan skrives om til å fungere via en annen nettside eller ved bruk av selve algoritmen uavhengig av Altinn. I så fall ligger problemet i hovedsak hos Tele 2.

Altinn vil likevel trolig endre sin innloggingsprosedyre.

- Det er grunn til å tro at programmet du viser til vil fungere uten våre løsninger. Men etter å ha satt oss inn i problemet, vil vi vurdere å fjerne denne delen av Altinns innlogging. Det er en service å gi brukerne beskjed om at det har blitt tastet feil, men det er ikke sikkert den er nødvendig i sin nåværende form, sier Olderbakk.

Han ser ikke på programmet som en sikkerhetsrisiko for selve Altinn, siden det kreves pinkoder for å komme videre i innloggingen.

TELE2 GIR BORT NAVN OG ADRESSE: Etter at programmet finner et gyldig personnummer ber det Tele2 om å oppgi personalia. På bildet har journalisten skrevet inn sitt eget personnummer og hentet den samme informasjonen selv.