26 October, 2009

Norsk datasikkerhet?

Fant nettopp en blogg laget av en kar som heter "Michael McMillan", hvor han presiserer hvor sikkert norske personnummer og person-info egentlig er på nettet, og det er tydeligvis skremmende enkelt å hente ut fødselsnummer!

Jeg laget selv et enkelt BASH script og et tilhørende portert PHP script for å teste hvor enkelt det faktisk er å hente ut norske fødselsnummer på Internett, men Michaels PHP script er hakket bedre fordi det kryss-sjekker mellom to datakilder (henholdsvis nettstedsadressene skatt.nettavisen.no og finnfirma.no/person)

Scriptet (hvis kildekode kan lastes ned her, går under lisensen Creative Commons) trenger 3 statiske variabler fra deg som bruker. Fornavn, etternavn og stedsnavn. Etter du har satt inn disse variablene forsøker da scriptet å hente ut relevant informasjon fra de overnevnte nettstedene og korrelerer disse sammen til fødsesnummeret til aktuell person (i formatet DDMMYY).

Jeg fikk treff på samtlige av mine bekjentskaper, og fødsesnumrene deres stemte.

Nå må de få slutt på all denne uendelige papirmøllingen, godkjenninger, møter osv. hvis vi i det hele tatt skal kunne sikre de sensitive dataene norske selskaper legger ut på nett uten noe som helst hensyn i forhold til personvernet i landet.

Var ikke mange årene siden banker var de første ut med slike megatabber. Bank-kunder kunne bare forandre visse variabler i URL-strengene til bank-nettstedene for å oppnå tilgang til andres kontoer og utskrifter. Og til og med idag ser vi de samme feilene oppstår i selskaper som burde ha sikkerhet aller først på agendaen når de jobber med såpass sensitiv informasjon som banktransaksjoner og kortbetaling (BBS).

SKJERPINGS!

0 kommentarer :

Post a Comment