Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  21 5111
Jeg ønsker med dette innlegget å demonstrere hvor usikkert fødselsnummer er som godkjenning.

Har brukt en del tid på å lage et svært enkelt program som som finner gyldige fødselsnummer, du finner det lenger ned.

Ser en på fødselnummeret så ser det slik ut:
ddmmååssskk, hvor sss og kk er den siste delen av nummeret.
kk er det to siste sifferene og er et kontrollnummer som genereres utifra tallene foran.
Tallene sss er under 500 for personer født FØR 2000, og det siste tallet av disse er ett partall om det er jente og oddetall om det er gutt.

Om en vet navnet på personen, om det er gutt/jente og fødselsdatoen så sitter en igjen med 250 kombinasjoner. Ved å prøve alle kombinasjonene vil en til slutt finne ut hva nummeret til personen er.

Steder en kan gjøre det på er Tele2 sin registreringsside, eller på Telenor sin. Selvsagt kan dette gjøres automatisk. La oss si at utprøvingen tar 5sek per nummer grunnet ventetid fra serveren, det gir gjennomsnittlig 10min for å finne riktig nummer.

Mangler en hele navnen finner en det og fødselsår ved å søke i skattelistene.

http://bildr.no/thumb/416438.jpeg

fnummer.zip
Kode til programmet. Skrevet i C#.

fnummer.zip et programmet som finner fødselsnummer på personer. Fungerer kun på personer født før 2000, bedre versjon kommer om ønskelig.
Sist endret av Sparkey; 23. mai 2009 kl. 17:26.
19.........bokstaver
bavarai's Avatar
Stilig program, men det er allerede gjort.


Hadde en scvhæææær sak om dette og tele2 her.
Etter alle disse såkalte lekkasjene vi leser om i avisene skulle man ikke tro var noe problem å finne ut fødselsnummeret til folk...
Neutral Good
Mith's Avatar
Personsikkerhet er bullshit.
Det ble mye styr rundt denne saken. Kripos sitter fortsatt på en del maskinvare som ble tatt som følger av dette.
Må kunne merke og kopiere alternativene direkte fra programmet.
Er ikke spesielt morsomt når man finner sitt eget personnummer på denne...
Tastaturkriger
Deezire's Avatar
Kjernen i saken under Tele2-saken var at man med kun et personnummer kunne hente ut persondata. På bl.a. Telenor sin side må du vite flere ting, slik som fornavn og etternavn. Hvis ikke disse stemmer overens regner jeg med at du får en feilmelding.
Sparkey's Avatar
Trådstarter
Sitat av petray Vis innlegg
Er ikke spesielt morsomt når man finner sitt eget personnummer på denne...
Vis hele sitatet...
Algoritmen ligger fritt på nett, jeg har satt det i system så mannen i gata kan se hvor lett det er.


Jobber med å skrive alle fødselsnummer mellom 1970 og 2010 til flere filer og legge det på en hjemmeside. Så om noen søker på fødselsnummeret sitt på google så kommer siden opp.

Fødselsnummer bør ikke brukes som noen form for identifiksjon, kun sammen men annen godkjenning for å skille brukere fra hverandre.

Sitat av bavarai Vis innlegg
Stilig program, men det er allerede gjort.
Hadde en scvhæææær sak om dette og tele2 her.
Vis hele sitatet...
Feilen ble tettet raskt også, men jeg mener den ikke er tettet godt nok når en kan teste ut flere nummer på samme navn for så å finne det riktige. Særlig når det tar under 20min per person og det er mulig å teste mot flere nettsider.

Sitat av LazySunday Vis innlegg
Må kunne merke og kopiere alternativene direkte fra programmet.
Vis hele sitatet...
Jobber med saken. Kom gjerne med flere tips.
Elitistisk dass
vidarlo's Avatar
Du sparker inn åpne dører desverre.

For alle som har brydd seg med å lese litt har det vore åpenbart at fødselsnummer ein identifikator; ikkje ein autentiseringsfaktor. At enkelte løsninger bruker det til autentisering er rett og slett hårreisande idiotisk.
Sparkey's Avatar
Trådstarter
Sitat av Deezire Vis innlegg
Kjernen i saken under Tele2-saken var at man med kun et personnummer kunne hente ut persondata. På bl.a. Telenor sin side må du vite flere ting, slik som fornavn og etternavn. Hvis ikke disse stemmer overens regner jeg med at du får en feilmelding.
Vis hele sitatet...
Har en litt av navnet så kan en automatisere resten ved å gå igjennom skattelistene og andre sider for å finne fødselsdatoen.
http://bildr.no/thumb/416727.jpeg
Her ifra en skatteside som gir både fult navn og fødselsdato.

Sitat av slashdot Vis innlegg
Du sparker inn åpne dører desverre.
For alle som har brydd seg med å lese litt har det vore åpenbart at fødselsnummer ein identifikator; ikkje ein autentiseringsfaktor. At enkelte løsninger bruker det til autentisering er rett og slett hårreisande idiotisk.
Vis hele sitatet...
Fødselsnummer bør kun være en identifikator, ikke for autentifisering som det av og til blir desverre.
Jugde Dredd
meitemark's Avatar
Administrator
Sitat av Sparkey Vis innlegg
Fødselsnummer bør kun være en identifikator, ikke for autentifisering som det av og til blir desverre.
Vis hele sitatet...
Alle vi som kan litt innenfor datasikkerhet VET det, men lykke til med å forklare det til den "gemene hop". De tror at alt som har med personnummer er en hemmelighet og ser ingen forskjell mellom autentisering eller identifisering.

Håper du har sikkerhetskopier av alt du måtte ønske fra maskinene dine og har lagret de et annet sted, for enkelte av de som var med i den forrige saken om slikt har enda ikke fått tilbake maskinene sine fra politiet.
Sparkey's Avatar
Trådstarter
Sitat av meitemark Vis innlegg
Håper du har sikkerhetskopier av alt du måtte ønske fra maskinene dine og har lagret de et annet sted, for enkelte av de som var med i den forrige saken om slikt har enda ikke fått tilbake maskinene sine fra politiet.
Vis hele sitatet...
Har ikke planer om å lage noe program som kan gjøre noe ulovlig slik som skjedde i Tele2 saken, men mulighetene ligger fremdeles der, bare litt mer tidkrevende.

Men for de som gjennomfører identitetstyveri så er det ikke store forskjellen om de finner 1000 navn og fødselsnummer på 10minutter, eller kun den ene de leter etter på 10min. Tiden det tar slik det er i dag er svimlende liten uansett.
Sist endret av Sparkey; 23. mai 2009 kl. 23:41.
Tips : Ha en søkefunksjon, altså etter du har fått opp personnr osv, at du kan finne akkurat det nr du leter etter.
Hva med å legge inn skjema for navn, og gjøre det slik at en kan fylle ut skjema på nettsidenne direkte fra programmet?

Altså, navn + adresse.+ valgfritt fødselsnr fra listen inn i skjema ved trykk av en knapp.

Om det ikke stemmer hopper mann til neste fødselsnr, fyller inne skjema automatisk, tester.
Sitat av LazySunday Vis innlegg
Hva med å legge inn skjema for navn, og gjøre det slik at en kan fylle ut skjema på nettsidenne direkte fra programmet?

Altså, navn + adresse.+ valgfritt fødselsnr fra listen inn i skjema ved trykk av en knapp.

Om det ikke stemmer hopper mann til neste fødselsnr, fyller inne skjema automatisk, tester.
Vis hele sitatet...
Da blir det fort voldsomt ulovlig ifølge Kripos.
Sparkey's Avatar
Trådstarter
Sitat av LazySunday Vis innlegg
Hva med å legge inn skjema for navn, og gjøre det slik at en kan fylle ut skjema på nettsidenne direkte fra programmet?
Altså, navn + adresse.+ valgfritt fødselsnr fra listen inn i skjema ved trykk av en knapp.
Om det ikke stemmer hopper mann til neste fødselsnr, fyller inne skjema automatisk, tester.
Vis hele sitatet...
Muligheten ligger der. Trenger kun navn, da det finnes sider som gir ut fødselsdato. Men dette blir det samme som skjedde i Tele2 saken, noe som ble sett på som ulovlig.

Jobber med noe annet, så dere får vente og se. Skal gjøre det mulig å finne sitt nummer ved søk på google, sier ikke mer.

Om noen har 200mb med plass på en webserver så si ifra. Kan nesten garantere mye trafikk hvis google først får gnagd seg gjennom hele siden.
Nerdenes Prins
Stormen's Avatar
Sparkey, hils Kripos fra nFF og si takk for sist!
Sparkey's Avatar
Trådstarter
Ønsker noen å laste ned siden så finner du den her:
fnummer.zip - Kilde1
fnummer.zip - Kilde2
fnummer.zip - Kilde3
fnummer.zip - Kilde4

Om en kilde er brukt opp så prøv neste. 44Mb er filen på og rett under 200 pakket ut.
▼ ... noen uker senere ... ▼
Har nå lagt det ut på nett:
http://ranvik.net/privat/fnummer/fnummer.html

Digi.no refererer nå til siden.

Siden kan nå lastes ned her.

Bra at det nå blir satt fokus på saken!
men man må skrive inn alle disse mulige kominasjonene manuelt?
isåfall blir det "litt" jobb da
De tallene som ligger på den siden, er det alle mulige personnummer, eller bare de i bruk? Interessant prosjekt, håper folk får opp øynene om hvor usikkert personummer er.
Mitt personnummer stemte, bra jobba