OPPDATERT: Tittel og en del innhold er redigert for å få frem at det sårbare skjemaet tilhører Brønnøysundregistrene.
En lektorstudent ved NTNU har oppdaget et sikkerhetshull i et skjema hos Brønnøysundregistrene, tilgjengelig gjennom tjenesteportalen til Altinn.
Med en porsjon tålmodighet eller egen programvare kan du finne fødselsnummeret til enhver norsk borger i tjenesten “Samordnet registermelding”.
Den direkte økonomiske gevinsten av slike data er redusert de siste årene, men det åpner for tilgang til store mengder informasjon.
Generator
– Jeg oppdaget sikkerhetshullet da jeg skulle føre opp et nytt navn i et styre, forteller Camilla Rygh.
Studenten logget seg inn på Altinn, men hadde ikke fødselsnummeret til det nye styremedlemmet. Hun brukte en generator for norske fødselsnumre, som ligger tilgjengelig på internett.
– Her var det bare å legge inn tall i tur og orden inntil jeg fikk bekreftet at kombinasjonen av navn og nummer var korrekt, forklarer Rygh.
Dette er ikke en ny problemstilling.
Kan kjøre script
Hun er ikke teknolog, men har interesse for programmering og mener dette ikke kan være godt nok med hensyn til verken datasikkerhet eller personvern.
– Her må det være mulig å kjøre en programvare mot skjematjenesten og dermed kunne hente ut hele Folkeregisteret, sier studenten.
Hun har meldt fra til Altinn, Brønnøysundregistrene og Datatilsynet uten å få konkrete svar.
På sin blogg demonstrerer student Camilla Rygh hvordan et skjema hos Brønnøysundregistrene kombinert med programvare kan brukes til å hente frem korrekt fødselsnummer.
Ved Universitetet i Bergen bekrefter id-ekspert Kjell Jørgen Hole de teknologiske mulighetene.
– Vi kjørte et script mot lignende tjeneste for noen år siden, så det er mulig å drive automatisk uthenting av data som opprinnelig kommer fra Folkeregisteret, sier Hole, som er professor ved Institutt for informatikk.
– Her kan det ligge sikkerhetsmekanismer som sperrer slike script, men de skal kunne omgås hvis du ikke kjører for massiv trafikk mot tjenesten, sier professoren.
Ran av eldre
Et fødselsnummer er ikke så verdifull informasjon for kriminelle som tidligere.
For få år siden kunne varer og tjenester, som et mobilabonnement, bestilles på andres navn kun med fødselsnummer som ekstra id-kontroll.
– Nå har sikkerheten blitt bedre, men for kriminelle er all personinformasjon verdifull ved at den kan settes sammen med andre elementer og åpne for misbruk, sier seniorrådgiver og ekspert på informasjonssikkerhet Vidar Sandland hos Norsk senter for informasjonssikring, Norsis.
Han viser til flere eksempler på at eldre mennesker er blitt ranet eller svindlet av gjerningspersoner som har koblet fødselsdato og adresser i et område.
Tilgang til eID
Staten selv står for sensitiv informasjon som kan rappes ved hjelp av fødselsnummeret:
Tilgang til Id-porten med statens egen elektroniske ID, Min ID. Den gir tilgang til en rekke offentlige tjenester, som Skatteetaten og Lånekassen.
Hvem som helst kan bestille et brev med nye pin-koder ved å taste inn et fødselsnummer på Difis nettside. Brevet blir sendt til adressen som er registrert i Folkeregisteret.
Og for mange er det en enkel sak å fiske et brev ut av en fremmed postkasse. digi.no gjorde en test hos Difis brukerstøtte og fikk bekreftet på telefon at fødselsnummer er tilstrekkelig for at det blir sendt nye koder.
digi.no har bedt Altinn, Brønnøysundregistrene og Datatilsynet om en vurdering av sikkerhetsrisikoen.
Saken blir med andre ord fulgt opp.