Fødselsnummer er usikkert.

[Sparkey]

Jeg ønsker med dette innlegget å demonstrere hvor usikkert fødselsnummer er som godkjenning.

Har brukt en del tid på å lage et svært enkelt program som som finner gyldige fødselsnummer, du finner det lenger ned.

Ser en på fødselnummeret så ser det slik ut:
ddmmååssskk, hvor sss og kk er den siste delen av nummeret.
kk er det to siste sifferene og er et kontrollnummer som genereres utifra tallene foran.
Tallene sss er under 500 for personer født FØR 2000, og det siste tallet av disse er ett partall om det er jente og oddetall om det er gutt.

Om en vet navnet på personen, om det er gutt/jente og fødselsdatoen så sitter en igjen med 250 kombinasjoner. Ved å prøve alle kombinasjonene vil en til slutt finne ut hva nummeret til personen er.

Steder en kan gjøre det på er Tele2 sin registreringsside, eller på Telenor sin. Selvsagt kan dette gjøres automatisk. La oss si at utprøvingen tar 5sek per nummer grunnet ventetid fra serveren, det gir gjennomsnittlig 10min for å finne riktig nummer.

Mangler en hele navnen finner en det og fødselsår ved å søke i skattelistene.



fnummer.zip
Kode til programmet. Skrevet i C#.

fnummer.zip et programmet som finner fødselsnummer på personer. Fungerer kun på personer født før 2000, bedre versjon kommer om ønskelig.

[bavarai]

Stilig program, men det er allerede gjort.


Hadde en scvhæææær sak om dette og tele2 her.

[plohg]

Etter alle disse såkalte lekkasjene vi leser om i avisene skulle man ikke tro var noe problem å finne ut fødselsnummeret til folk...

[Mith]

Personsikkerhet er bullshit.
Det ble mye styr rundt denne saken. Kripos sitter fortsatt på en del maskinvare som ble tatt som følger av dette.

[LazySunday]

Må kunne merke og kopiere alternativene direkte fra programmet.

[petray]

Er ikke spesielt morsomt når man finner sitt eget personnummer på denne...

[Deezire]

Kjernen i saken under Tele2-saken var at man med kun et personnummer kunne hente ut persondata. På bl.a. Telenor sin side må du vite flere ting, slik som fornavn og etternavn. Hvis ikke disse stemmer overens regner jeg med at du får en feilmelding.

[Sparkey]

Sitat: Originalt skrevet av petray

Er ikke spesielt morsomt når man finner sitt eget personnummer på denne...

Algoritmen ligger fritt på nett, jeg har satt det i system så mannen i gata kan se hvor lett det er.


Jobber med å skrive alle fødselsnummer mellom 1970 og 2010 til flere filer og legge det på en hjemmeside. Så om noen søker på fødselsnummeret sitt på google så kommer siden opp.

Fødselsnummer bør ikke brukes som noen form for identifiksjon, kun sammen men annen godkjenning for å skille brukere fra hverandre.

Sitat: Originalt skrevet av bavarai

Stilig program, men det er allerede gjort.
Hadde en scvhæææær sak om dette og tele2 her.

Feilen ble tettet raskt også, men jeg mener den ikke er tettet godt nok når en kan teste ut flere nummer på samme navn for så å finne det riktige. Særlig når det tar under 20min per person og det er mulig å teste mot flere nettsider.

Sitat: Originalt skrevet av LazySunday

Må kunne merke og kopiere alternativene direkte fra programmet.

Jobber med saken. Kom gjerne med flere tips.

[slashdot]

Du sparker inn åpne dører desverre.

For alle som har brydd seg med å lese litt har det vore åpenbart at fødselsnummer ein identifikator; ikkje ein autentiseringsfaktor. At enkelte løsninger bruker det til autentisering er rett og slett hårreisande idiotisk.

[Sparkey]

Sitat: Originalt skrevet av Deezire

Kjernen i saken under Tele2-saken var at man med kun et personnummer kunne hente ut persondata. På bl.a. Telenor sin side må du vite flere ting, slik som fornavn og etternavn. Hvis ikke disse stemmer overens regner jeg med at du får en feilmelding.

Har en litt av navnet så kan en automatisere resten ved å gå igjennom skattelistene og andre sider for å finne fødselsdatoen.

Her ifra en skatteside som gir både fult navn og fødselsdato.

Sitat: Originalt skrevet av slashdot

Du sparker inn åpne dører desverre.
For alle som har brydd seg med å lese litt har det vore åpenbart at fødselsnummer ein identifikator; ikkje ein autentiseringsfaktor. At enkelte løsninger bruker det til autentisering er rett og slett hårreisande idiotisk.

Fødselsnummer bør kun være en identifikator, ikke for autentifisering som det av og til blir desverre.

[meitemark]

Sitat: Originalt skrevet av Sparkey

Fødselsnummer bør kun være en identifikator, ikke for autentifisering som det av og til blir desverre.

Alle vi som kan litt innenfor datasikkerhet VET det, men lykke til med å forklare det til den "gemene hop". De tror at alt som har med personnummer er en hemmelighet og ser ingen forskjell mellom autentisering eller identifisering.

Håper du har sikkerhetskopier av alt du måtte ønske fra maskinene dine og har lagret de et annet sted, for enkelte av de som var med i den forrige saken om slikt har enda ikke fått tilbake maskinene sine fra politiet.

[Sparkey]

Sitat: Originalt skrevet av meitemark

Håper du har sikkerhetskopier av alt du måtte ønske fra maskinene dine og har lagret de et annet sted, for enkelte av de som var med i den forrige saken om slikt har enda ikke fått tilbake maskinene sine fra politiet.

Har ikke planer om å lage noe program som kan gjøre noe ulovlig slik som skjedde i Tele2 saken, men mulighetene ligger fremdeles der, bare litt mer tidkrevende.

Men for de som gjennomfører identitetstyveri så er det ikke store forskjellen om de finner 1000 navn og fødselsnummer på 10minutter, eller kun den ene de leter etter på 10min. Tiden det tar slik det er i dag er svimlende liten uansett.

[KingPill]

Tips : Ha en søkefunksjon, altså etter du har fått opp personnr osv, at du kan finne akkurat det nr du leter etter.

[LazySunday]

Hva med å legge inn skjema for navn, og gjøre det slik at en kan fylle ut skjema på nettsidenne direkte fra programmet?

Altså, navn + adresse.+ valgfritt fødselsnr fra listen inn i skjema ved trykk av en knapp.

Om det ikke stemmer hopper mann til neste fødselsnr, fyller inne skjema automatisk, tester.

[Goophy]

Sitat: Originalt skrevet av LazySunday

Hva med å legge inn skjema for navn, og gjøre det slik at en kan fylle ut skjema på nettsidenne direkte fra programmet?

Altså, navn + adresse.+ valgfritt fødselsnr fra listen inn i skjema ved trykk av en knapp.

Om det ikke stemmer hopper mann til neste fødselsnr, fyller inne skjema automatisk, tester.

Da blir det fort voldsomt ulovlig ifølge Kripos.

[Sparkey]

Sitat: Originalt skrevet av LazySunday

Hva med å legge inn skjema for navn, og gjøre det slik at en kan fylle ut skjema på nettsidenne direkte fra programmet?
Altså, navn + adresse.+ valgfritt fødselsnr fra listen inn i skjema ved trykk av en knapp.
Om det ikke stemmer hopper mann til neste fødselsnr, fyller inne skjema automatisk, tester.

Muligheten ligger der. Trenger kun navn, da det finnes sider som gir ut fødselsdato. Men dette blir det samme som skjedde i Tele2 saken, noe som ble sett på som ulovlig.

Jobber med noe annet, så dere får vente og se. Skal gjøre det mulig å finne sitt nummer ved søk på google, sier ikke mer.

Om noen har 200mb med plass på en webserver så si ifra. Kan nesten garantere mye trafikk hvis google først får gnagd seg gjennom hele siden.

[Stormen]

Sparkey, hils Kripos fra nFF og si takk for sist!

[Sparkey]

Ønsker noen å laste ned siden så finner du den her:
fnummer.zip - Kilde1
fnummer.zip - Kilde2
fnummer.zip - Kilde3
fnummer.zip - Kilde4

Om en kilde er brukt opp så prøv neste. 44Mb er filen på og rett under 200 pakket ut.

[Sparkey]

Har nå lagt det ut på nett:
http://ranvik.net/privat/fnummer/fnummer.html

Digi.no refererer nå til siden.

Siden kan nå lastes ned her.

Bra at det nå blir satt fokus på saken!

[åjavelja]

men man må skrive inn alle disse mulige kominasjonene manuelt?
isåfall blir det "litt" jobb da