Norge

Nordmenn lett bytte<br/> i storskala ID-tyveri

Offentlige og private nettsider lekker personlig informasjon, som gjør det enkelt å stjele norske identiteter.

Ved å sette sammen ulike biter informasjon fra flere nettsteder er det enkelt å innhente store mengder personopplysninger - uten å gjøre datainnbrudd. Foto: JOACIM LUND

  • Morten Andersen
    Morten Andersen

Enkel programvare kan tappe nettsteder i Norge for så mye personlig informasjon at det er mulig å kopiere store deler av folkeregisteret på kort tid.

Potensielle ID-tyver er ikke avhengig av å stjele lommebøker eller grave etter dokumenter i søppelet for å ta over noens identitet. Heller ikke datainnbrudd er nødvendig, for de personlige opplysningene ligger nærmest åpent tilgjengelig på Internett.

Med navn, adresser og fødselsnummer kan kriminelle enkelt stjele identiteten til intetanende nordmenn, og for eksempel bestille kredittkort i ofrenes navn.

Slår alarm

Doktorgradstipendiat André N. Klingsheim og professor Kjell J. Hole ved Institutt for Informatikk ved universitetet i Bergen slår alarm om situasjonen i en fersk artikkel om ID-tyveri.

I artikkelen demonstrerer de to hvor enkelt det er å skaffe seg og misbruke nordmenns identitet i stor skala på Internett.

Med hjelp fra enkel programvare tappet artikkelforfatterne personlig informasjon fra nettsidene til banker, teleoperatører og offentlige organer.

Et mulig startpunkt for en ID-tyv kan for eksempel være den offentlige portalen altinn.no.

Her logger brukeren seg på ved å taste inn et fødselsnummer.

— Uproblematisk

— Du får en feilmelding hvis fødselsnummeret ikke er i bruk. Hvis det er i bruk får du beskjed om å skrive inn en pinkode. Slik finner vi ut om et fødselsnummeret er i bruk eller ikke, og det hjelper oss veldig, sier André N. Klingsheim.

En datamaskin kan enkelt generere et stort antall fødselsnumre, og deretter sjekke disse opp mot altinn.no for å finne ut om de er i bruk.

Avdelingsdirektør Håkon Olderbakk ved Brønnysundregistrene, som drifter Altinn.no, sier det er uproblematisk at det er mulig å hente ut gyldige fødselsnummer fra portalen.

— Det er absolutt ikke å lekke informasjon. At man får etablert hva som er et gyldig fødselsnummer er helt legalt og helt kurrant. Det er ikke noe problem i det hele tatt, sier han.

Mobiloperatører lekker

Men gyldige fødselsnumre kan brukes som utgangspunkt hos andre aktører.

På nettsidene til flere norsk mobiloperatører blir nye kunder bedt om å taste inn fødselsnummeret sitt for å bestille abonnement.

Operatøren henter deretter navn og adresse automatisk fra folkeregisteret.

— Det er veldig brukervennlig når du vil bestille. Men jeg kan gjøre dette med ditt fødselsnummer, og da vet jeg plutselig hvem du er og hvor du bor, sier Klingsheim.

Fødselsnummer og adresse er alt noen trenger for å omadressere posten til en hvilken som helst person i Norge. Dette er en enkel operasjon på nettsidene til Posten.

Enkel programmering

Deretter kan et ID-tyveri fort få store konsekvenser for offeret. Navn og fødselsnummer er ofte nok til å sperre et kredittkort. Banken vil utstede et nytt kort og sende det til kunden i posten, som allerede kontrolleres av ID-tyven.

Programvaren som skal til for å tappe nettstedene for informasjon er ifølge André N. Klingsheim svært enkel å lage.

— Det er grunnleggende programmeringskunnskaper som må til for å lage et slikt verktøy, sier han.

Han forklarer at programmet enkelt kan tilpasses de forskjellige nettstedene, og hente ut store mengder informasjon på kort tid.

- Har bare sett starten

— Hvis jeg først henter ut denne informasjon så kan jeg putte den inn i en database, også sitter jeg med en liten kopi av folkeregisteret, sier Klingsheim.

Hos en av de største bankene i Norge, klarte Klingsheim å hente ut deler av kundelisten gjennom påloggingsrutinen i nettbanken.

Selv tror han at Norge bare har sett starten på fenomenet ID-tyverier. Klingsheim fastslår at problemet er økende.

— Situasjonen er særdeles bekymringsfull. Spesielt fordi dette er så enkelt. Måten systemene er laget på er det store problemet. Det er ikke slik at de har en tradisjonell sikkerhetssvakhet, altså en feil i programvaren. Systemene virker slik de er tiltenkt, sier han.

Økende problem

Politiadvokat Eirik Trønnes Hansen ved datakrimavdelingen i Kripos sier til Aftenposten.no at det alltid dukker opp nye måter å få tak i andres personopplysninger på.

— Generelt kan jeg si at ID-tyveri er et økende problem, sier han.

Ifølge Trønnes Hansen finnes det ingen ordentlig statisikk på hvor omfattende ID-tyverier er i Norge.

Årsaken er at sakene ofte sorterer under andre typer lovbrudd, som for eksempel bedrageri og dokumentfalsk.

Les også

  1. - Skremmende enkelt