Combitels elendige personvernholdning

July 24, 2007 on 1:16 pm | In Personlig | 5 Comments

Alle som kjenner meg over middels godt veit at eg er interessert i personvern og datasikkerhet.
Eg vart derfor svært skuffa då eg tidlegare denne helga kom over nettsidene til Combitel sin GoBergen kampanje.
Dersom ein ynskjer å bestille breiband via Combitel får ein presentert ei flott side der allt ein treng å gjere er å fylle inn personnummeret sitt, så har dei ordna det til slik at kundane slepp å fylle inn sitt eige namn og addresse. Veldig kundevenleg og greitt.

Det er imidlertid fleire alvorlege problem ved denne sida.
Det første er at sida ikkje benytter SSL for å sikre kommunikasjonen mellom tjenermaskina og kunden som ynskjer å bestille abbonemang. Dette gjer det mulig for andre å få tak i personnummeret til eventuelle kunder som besøker sida.
Men sidan ein ikkje akkurat treng å vere heksedoktor for å generere gyldige personnummer, så kan ein kanskje sei at dersom ein person er i stand til å snappe opp denne trafikken så kan ein like godt generere gyldige personnummer sjølv.

Dette tek meg videre til problem nummer to med denne sida.
Eit personnummer er bygd opp på følgjnde måte:
d1d2m1m2y1y2 i1 i 2 i3 c1 c2
Dei seks første er fødselsdag, månad og år. Dei tre neste siffera utgjer eit individnummer som blir og dei to siste er to kontrollnummer som kan reknast ut frå dei andre. For meir om personnummer kan ein sjå på wikipedia.

Poenget mitt er at sidan personnummera følgjer eit slikt bestemt system er det enkelt å generere alle mulige potensielle personnummer for ein bestemt dato. Men man kan ikke vite om dette er personnummer som brukes av noen eller ikke.
Men slike nettsider som den overnevnte kan man da bruke som en kilde til “data-mining” hvor man bruker de genererte personnummerene som input og så bruker man svaret fra nettsiden til å forkaste nummeret eller til å lagre data om personen nummeret tilhører.

For eksempel kan man vha personnummer og postnummeret som er registrert i folkeregisteret lett flytte posten til nokon via posten sine nettsider.
Eller ein kan benytte personnummera ein sit att med til eit distibuert anngrep mot nettbanker som ein finn beskrevet i fleire artiklar, mellom anna på nowires.org.

Det var altså litt om kva muligheter ein har når slik informasjon vert tilgjengelig via internett.
Men det som er ekstra trist er at ein enkelt kunne ha redusert risikoen for denne typen ondsinnet bruk av nettsidene.
For det første så er det ikkje nødvendig å ha eit slik oppslag på personnummer i det heile, men dersom ein absoulutt ynskjer å ha det så kunne ein også bedt om at brukaren oppgav det folkeregistrerte postnummeret sitt også og så sjekka at det stemte overens med dei registrerte opplysningane før ein lista opplysningane om personen.

Entries and comments feeds. Valid XHTML and CSS. ^Top^