Min (og din) ID-knekker
Kriminelle kan boltre seg i personopplysninger og nettjenester som gjør det lekende lett å stjele identiteten din.
Som jeg skrev i begynnelsen av juni, holder det med fødselsdato + år, for å regne seg frem til ditt unike 11-sifrede fødselsnummer. Her er oppskriften.
VG/CW følger i dag opp med en sak der Datatilsynet slakter sikkerheten i nettjenesten Minfastlege. Det kreves ingen autentisering for å logge seg inn å bytte naboens fastlege.
Det som dessverre ikke kommer så godt frem i saken, er at den samme løsningen i praksis er landets aller beste ID-knekker.
På Minfastlege kan kriminelle prøve ut et uendelig antall kombinasjoner for å finne ditt fødselsnummer, og ansvarlig etat Helsedirektoratet har fortsatt ingen planer om å løfte en finger for å utbedre sikkerheten.
Hvorfor det ikke er lagt inn sperre på hvor mange forsøk man får gjøre på “innlogging” her er en gåte. Selv en enkel captcha-løsning ville gjort det langt vanskeligere og mer tidkrevende å prøve ut hele nummerserier.
Ironisk nok lenker Minfastlege til en side om personvern. Helt nederst på den siden, under en masse unødvendig fjas om cookies, javascript og navigasjonsknapper(!) fremgår det at du faktisk kan reservere deg mot at ditt fødselsnummer kan brukes i løsningen.
Dette må gjøres gjennom den gode gamle telefonen, nærmere bestemt via fastlegetelefonen på 810 59 500.
Sjokkerende!!!
Prøvde det selv, knakk min egen “kode” på 4 minutter – (18 førsøk)!!!
Med en robot så tar det vel ca. 0.02 sekunder.
Er en stund siden nå, vet ikke om de har gjort noe med det siden..
@Gisle Hei, det begynner jo å bli en stund siden jeg skrev dette innlegget. Kort tid etter ble MinFastlege stengt. Det skjedde straks en journalist fra lokalvisen Glomdalen viste justisminister Knut Storberget hvor lett det var å hacke fødselsnummeret hans. Etter dette ble MinFastlege flyttet inn under statens MinID-løsning. Hvilken nettjeneste brukte du for å knekke nummeret ditt?