mboost-dp1
Anonymous
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Undskyld - Atea? o_O
Anyway - er det ikke relativt nemt at få fat i CPR-numrene generelt? Nu tænker jeg ikke på al data, men kun selve CPR-numre?
Jeg kan da f.eks mindes i "gamle" dage, til et computer-magasin (K-Omputer, eller whatever) - der var en 18+ film på CD'en, og hvis man tilgik skiven gennem deres latterlige HTML-autorun, så krævede det et gyldigt CPR-nummer for at virke - jeg kan ikke huske hvordan den godkendte, jeg kan blot huske at den ikke godtog et fake CPR-nummer.
tl;dr
Er det ikke relativt nemt at få adgang til CPR-numre?
Anyway - er det ikke relativt nemt at få fat i CPR-numrene generelt? Nu tænker jeg ikke på al data, men kun selve CPR-numre?
Jeg kan da f.eks mindes i "gamle" dage, til et computer-magasin (K-Omputer, eller whatever) - der var en 18+ film på CD'en, og hvis man tilgik skiven gennem deres latterlige HTML-autorun, så krævede det et gyldigt CPR-nummer for at virke - jeg kan ikke huske hvordan den godkendte, jeg kan blot huske at den ikke godtog et fake CPR-nummer.
tl;dr
Er det ikke relativt nemt at få adgang til CPR-numre?
Thoroughbreed (1) skrev:Undskyld - Atea? o_O
Undskyld - hvorfor ikke Atea?
Atea ligger inde med en ufattelig stor mængde data fra virksomheder i hele landet. "følsomme"
Det virker som et logisk mål.
#2
For et halvt års tid siden var det egentlig simpelt: http://www.version2.dk/artikel/itu-studerende-kan-...
For et halvt års tid siden var det egentlig simpelt: http://www.version2.dk/artikel/itu-studerende-kan-...
Thoroughbreed (1) skrev:Jeg kan da f.eks mindes i "gamle" dage, til et computer-magasin (K-Omputer, eller whatever) - der var en 18+ film på CD'en, og hvis man tilgik skiven gennem deres latterlige HTML-autorun, så krævede det et gyldigt CPR-nummer for at virke - jeg kan ikke huske hvordan den godkendte, jeg kan blot huske at den ikke godtog et fake CPR-nummer.
Måske de bare validerede det med kontrolciffer?
Thoroughbreed (3) skrev:
Well, hvis man så har et CPR-nummer, kan man vel finde navnet? Eller hur?
Ja, man kan købe adgang til CPR-registeret, så hvis man allerede har en persons CPR nummer og evt. gamle oplysninger om navn+adresse, så kan man få oplyst de nyeste oplysninger om navneskift og adresse, eller om personen er død, emigreret eller forsvundet.
Det koster et beløb per søgning, så man søger ikke bare lige igennem en liste med adresser for sjov, men det er meget nyttigt til inkassoformål, eller i andre tilfælde hvor man vil dokumentere at et vigtig brev er sendt til den korrekte juridiske adresse.
majbom (7) skrev:Måske de bare validerede det med kontrolciffer?
Uanset sprog, så er første program er "Hello world", næste program er "CPR-validering". :)
Du kan for øvrigt se hvem der abonnere på dit CPR nummer ved at logge ind via følgende:
https://www.borger.dk/Sider/Det-Centrale-Personreg...
Vælg Registerindsigt og angiv din kommune.
Bemærk at en hel del af dem der abonnere benytter bi-navne, men det kan slåes op på cvr.dk
Noget tid siden jeg checkede min sidst, men havde da blandt andet PET på min liste.
https://www.borger.dk/Sider/Det-Centrale-Personreg...
Vælg Registerindsigt og angiv din kommune.
Bemærk at en hel del af dem der abonnere benytter bi-navne, men det kan slåes op på cvr.dk
Noget tid siden jeg checkede min sidst, men havde da blandt andet PET på min liste.
De kunne så også ha valgt Atea som mål fordi de har opdateret layoutet på deres indkøbsportal (AteaDirect).. og det er blevet pisse-grimt.
#1, #7
Ja, de har bare kørt en modulus 11 check på det indtastede. Det er forholdvis nemt at omgå, da der selvfølgeligt ikke er nogen kontrol af om det givne cpr nogensinde er givet ud til nogen.
#Generelt
Det er sådan lidt en "både og" problemstilling. Det er rimeligt til at finde et cpr hvis man i forvejen har information til unikt at identificere en person. fx. navn, adresse og fødselsdato. Så det er sådan set ikke svært at finde disse oplysninger.
Problemet vil opstå når man skal til at misbruge den oplysning, for et cpr er i sig selv værdiløst. Det kan bruges som login på nogen sider, men så skal det bruges i sammenhæng med et kodeord som er langt svære at få fat på.
Endeligt vil jeg sige, hvis staten er så glad for at cpr skal være hemmeligt, så var det måske en ide de lod være med at bruge det som første del af betalingsnummeret når de sender regninger ud til folk. For det er sku nemt at bryde ind i en postkasse.
Ja, de har bare kørt en modulus 11 check på det indtastede. Det er forholdvis nemt at omgå, da der selvfølgeligt ikke er nogen kontrol af om det givne cpr nogensinde er givet ud til nogen.
#Generelt
Det er sådan lidt en "både og" problemstilling. Det er rimeligt til at finde et cpr hvis man i forvejen har information til unikt at identificere en person. fx. navn, adresse og fødselsdato. Så det er sådan set ikke svært at finde disse oplysninger.
Problemet vil opstå når man skal til at misbruge den oplysning, for et cpr er i sig selv værdiløst. Det kan bruges som login på nogen sider, men så skal det bruges i sammenhæng med et kodeord som er langt svære at få fat på.
Endeligt vil jeg sige, hvis staten er så glad for at cpr skal være hemmeligt, så var det måske en ide de lod være med at bruge det som første del af betalingsnummeret når de sender regninger ud til folk. For det er sku nemt at bryde ind i en postkasse.
kasperd (15) skrev:hvilken nødplan de offentlige har for det tilfælde, at det komplete indhold af CPR registeret faktisk kom i cirkulation på nettet.
Her er den:
Jeg har selv læst datamatiker for nogle år tilbage og der skulle vi også lave en cpr validator. Vi kom dog hurtigt til at snakke om hvor nemt det måske var at få fat i nogens cpr nummer og derfra få lavet nyt sygesikringskort, kørekort o.s.v. ... Det rækker godtnok lidt ud over validering til forskellige ting, men det var et sjovt tankeeksperiment!Unbound (13) skrev:Problemet vil opstå når man skal til at misbruge den oplysning, for et cpr er i sig selv værdiløst. Det kan bruges som login på nogen sider, men så skal det bruges i sammenhæng med et kodeord som er langt svære at få fat på.
majbom (17) skrev:Brugernavn (16) skrev:Her er den:
La' vær' - du lyder som Helle :D
Jeg kan efterhånden ikke huske hvordan hun lyder :-(
kasperd (18) skrev:Hvordan skal den del forstås?
Jeg tror planen er at se hvor langt aben kan kastes op i hierarkiet. Eller med andre ord, tror jeg ikke at de har en god løsning.
Hvorfor er det at virksomhederne bliver ved med at bruge CPR nummeret...!!
På min gamle Uddannelse var noget af det første underviserne sagde, at man aldrig skal sætte sin lid til et CPR nummer, og vi aldrig måtte lave systemer hvor en stor del af sikkerheden afhang af et CPR nummer...
På min gamle Uddannelse var noget af det første underviserne sagde, at man aldrig skal sætte sin lid til et CPR nummer, og vi aldrig måtte lave systemer hvor en stor del af sikkerheden afhang af et CPR nummer...
dprocs (21) skrev:Hvorfor er det at virksomhederne bliver ved med at bruge CPR nummeret...!!
Fordi det er det eneste unikke uforanderlige stykke information, man har om en person. Folk skifter adresse, telefonnummer, navn, email adresse osv. Aldrig CPR nummer, med mindre det er en helt speciel situation, hvor man alligevel ikke må følge vedkommende videre.
Men det er almindeligt at begå den fejl at validere personer på CPR-nummeret. Og det er dumt.
#22
Jeg har ikke noget imod at bruge CPR-nummeret til at identificere en person, og det er fint at man kan bruge CPR-nummeret til opslag....
Men man burde ikke kunne bruge CPR-nummeret til andet end det, og så måske bestilling af NemId til ens sidst kendte adresse...
Og hvis den adresse ikke passer, så må man gå ned på kommunen...
Jeg har ikke noget imod at bruge CPR-nummeret til at identificere en person, og det er fint at man kan bruge CPR-nummeret til opslag....
Men man burde ikke kunne bruge CPR-nummeret til andet end det, og så måske bestilling af NemId til ens sidst kendte adresse...
Og hvis den adresse ikke passer, så må man gå ned på kommunen...
dprocs (23) skrev:Og hvis den adresse ikke passer, så må man gå ned på kommunen...
Det ville være enormt dyrt, hvis man ikke kan hente adresser via CPR-numre og folkergistre. Danske Bank, kan ikke gå ned et par gange om ugen med en million CPR numre, og få damen ved skranken til at konrollere om adresserne er ok.
#24
Tror du misforstår...
Jeg mener hvis ens adresse pt. ikke er korrekt, og man ikke er i besiddelse af et NemId, så vil man være nødt til at gå ned på kommunen og ændre ens adresse samt bestille et NemId dertil...
Jeg skrev ovenover at jeg ikke havde problemer med at bruge CPR nummeret til opslag, som er tilfældet med Danske Bank....
Tror du misforstår...
Jeg mener hvis ens adresse pt. ikke er korrekt, og man ikke er i besiddelse af et NemId, så vil man være nødt til at gå ned på kommunen og ændre ens adresse samt bestille et NemId dertil...
Jeg skrev ovenover at jeg ikke havde problemer med at bruge CPR nummeret til opslag, som er tilfældet med Danske Bank....
dprocs (25) skrev:Jeg mener hvis ens adresse pt. ikke er korrekt, og man ikke er i besiddelse af et NemId, så vil man være nødt til at gå ned på kommunen og ændre ens adresse samt bestille et NemId dertil...
Det er jo det, vi har folkeregistret til. Når du bestiller et nyt NemID, kender DanID din adresse udfra CPR-nummeret, fordi de får info fra folkeregistret. Det er nødvendigt for det offentlige at vide hvor folk bor.
Det eneste jeg ser at annymous kan leake af information fra CPR registeret er navne og adresser på de personer der har hemmelig adresse.
Dette er jeg derimod sikker på ikke er noget som de folk der har fået hemmelig adresse for at flygte fra en voldelig "eks" ikke er specielt glad for.
EDIT:
Selv om adresse beskyttelse jo er en form for hemmelig statsinformation, som Anonymous vel egenligt er imod ?
Dette er jeg derimod sikker på ikke er noget som de folk der har fået hemmelig adresse for at flygte fra en voldelig "eks" ikke er specielt glad for.
EDIT:
Selv om adresse beskyttelse jo er en form for hemmelig statsinformation, som Anonymous vel egenligt er imod ?
#26
Okay, så folkeregistret er simpelthen en specialstyrke som holder øje med hvad du laver og om du har tænkte dig at flytte...
Nej, man skal selv melde ens flytning....
Hvordan gør man det lettest ? NemId
Men hvad nu hvis du er flyttet, ikke har meldt det, og ikke har noget NemId..... Som er det jeg prøver at forklare...
Jeg bliver jo ved med at skrive at jeg ikke har noget imod opslag vha. CPR nummeret.....
Men det eneste man, udover opslag og Identification(ikke authentication), burde kunne bruge et CPR nummer til er bestilling af NemId til ens aktuelle adresse....
Okay, så folkeregistret er simpelthen en specialstyrke som holder øje med hvad du laver og om du har tænkte dig at flytte...
Nej, man skal selv melde ens flytning....
Hvordan gør man det lettest ? NemId
Men hvad nu hvis du er flyttet, ikke har meldt det, og ikke har noget NemId..... Som er det jeg prøver at forklare...
Jeg bliver jo ved med at skrive at jeg ikke har noget imod opslag vha. CPR nummeret.....
Men det eneste man, udover opslag og Identification(ikke authentication), burde kunne bruge et CPR nummer til er bestilling af NemId til ens aktuelle adresse....
#27 Kan tænkes følgene er et standard svar, fordi de ikke selv ved hvor meget der er blevet taget..
Men indtil da har CPR registret udtalt:
Men indtil da har CPR registret udtalt:
»Jeg kan bekræfte, at der har været nogen inde på CPR.dk, men hjemmesiden indeholder ikke personfølsomme oplysninger. Selve CPR-systemet har ikke været genstand for hacking,« siger kontorchef i Økonomi- og Indenrigsministeriet Carsten Grage til Version2. skrev:
Brugernavn (20) skrev:Jeg tror planen er at se hvor langt aben kan kastes op i hierarkiet. Eller med andre ord, tror jeg ikke at de har en god løsning.
Hvad? Nej, nej - aben skal jo nedad! Hvis aben ryger opad ender den jo hos politikerne - det tror jeg slet ikke de vil ha' :-P
nitan (29) skrev:#27 Kan tænkes følgene er et standard svar, fordi de ikke selv ved hvor meget der er blevet taget..
Nu har Version2 et link til den pastebin-post med den oprindelige meddelelse, som også har de oprindelige udtalelser fra "Anonymous".
De skriver pænt at de nu har alle de hemmelige informationer som adresser, CPR-numre mv., og har så ellers postet et databasetræ, som minder mig umådelig meget om noget hjemmestrikket CMS database, lavet af en person som vidst ikke har haft den største indsigt i databasestruktur.
Det ligner for mig, på ingen måde en database som indeholder CPR-numre, navne, adresser mv.
RobseRob (33) skrev:*suk* Troede kun det var medierne som ikke forstår hvad "Anonymous" går ud på..
Men de børn der keder sig og siger de er en del af Anonymous ER jo netop også en del af Anonymous.
That's the frigging point. Du kan jo for djævlen ikke sige "vi er anonyme - der er uendeligt mange af dig og vi kommer efter dig - bortset lige fra dem der hackede CPR-registeret i sidste uge, de er i HVERT fald ikke en del af os!"
Inden man gør brug af CPR nummeret skal man gøre sig klart om det kommer til at fungere som et brugernavn eller et password.Brugernavn (22) skrev:Fordi det er det eneste unikke uforanderlige stykke information, man har om en person. Folk skifter adresse, telefonnummer, navn, email adresse osv. Aldrig CPR nummer
Kommer CPR til at fungere som brugernavn, så er det en fornuftig anvendelse.
Kommer CPR til at fungere som password, så gør man det forkert. For det første skal et password jo kunne skiftes. Jeg lægger ikke op til en diskussion om hvor ofte man bør skifte password, men det er helt klart dårlig sikkerhed, hvis systemet ikke tillader at man skifter sit password. For det andet er CPR numret ikke hemmeligt, og selv hvis man prøver at holde det hemmeligt har det ikke nær så meget entropi som et halvdårligt password. Kender man fødselsdato er der kun omkring otte bits entropi tilbage.
Det er jo personoplysninger, hvilket er noget ganske andet. For mit vedkommende er personoplysninger den type oplysninger, hvor jeg har størst respekt for deres fortrolighed.Saxov (27) skrev:Selv om adresse beskyttelse jo er en form for hemmelig statsinformation, som Anonymous vel egenligt er imod ?
Hvis ikke man har andet som kan dokumentere ens identitet, så er vi ude i en situation hvor der skal vitterlighedsvidner til. Så kan man begynde at overveje om der burde oprettes en database over hvem der kender en given person godt nok til at kunne være vitterlighedsvidne.dprocs (28) skrev:folkeregistret er simpelthen en specialstyrke som holder øje med hvad du laver og om du har tænkte dig at flytte...
Nej, man skal selv melde ens flytning....
Hvordan gør man det lettest ? NemId
Men hvad nu hvis du er flyttet, ikke har meldt det
moulder666 (35) skrev:RobseRob (33) skrev:*suk* Troede kun det var medierne som ikke forstår hvad "Anonymous" går ud på..
Men de børn der keder sig og siger de er en del af Anonymous ER jo netop også en del af Anonymous.
That's the frigging point. Du kan jo for djævlen ikke sige "vi er anonyme - der er uendeligt mange af dig og vi kommer efter dig - bortset lige fra dem der hackede CPR-registeret i sidste uge, de er i HVERT fald ikke en del af os!"
.. læste du mit indlæg? Fordi thats my fucking point fordi en kom med den typpiske totalt uvidne kommentar.
RobseRob (38) skrev:
.. læste du mit indlæg? Fordi thats my fucking point fordi en kom med den typiske totalt uvidne kommentar.
Jeg tror at forvirringen kommer fordi man nu associere Anonymous med de politiske aktivister som man har hørt så meget om tidligere hvor de rent faktisk har haft en del talentfulde personer med.
"Denne" anonymous som mener at DK styres af en skyggeregering der tilbeder lucifer ( er "bare" en flok scriptkiddies der kunne finde ud af at køre en sikkerhedsscanner der fandt SQL injection fejl på en hjemmeside og kunne derfor få adgang til den underliggende database i den context/user som hjemmesiden bruger.
HerrMansen (40) skrev:Alt den her snak om abekast forvirrer mig - vi har brug for en bilanalogi!
Der bliver kø i krybesporet...
Brugernavn (20) skrev:La' vær' - du lyder som Helle :D
Jeg kan efterhånden ikke huske hvordan hun lyder :-(
kasperd (18) skrev:Hvordan skal den del forstås?
Jeg tror planen er at se hvor langt aben kan kastes op i hierarkiet. Eller med andre ord, tror jeg ikke at de har en god løsning.
Løsningen kommer i morgen...
Til Anusmus
Ja tillykke, du fandt en SQL injection.
Du kunne også finde MX records for domainet. Nej hvor er du god, de er ligesom offentligt tilgængelige for at Atea kan modtage e-mails. DET ER JO MENINGEN!
Men hvad fabler du om med VPN og SSL certifikater. Den adresse du skriver er ikke VPN, og den kører ikke SSL. Du har bare lavet en telnet til port 80 big deal klovn!
Altså hver er det for nogle latterlige amatør efterlignere den har smidt det der i pastebin?
Ja tillykke, du fandt en SQL injection.
Du kunne også finde MX records for domainet. Nej hvor er du god, de er ligesom offentligt tilgængelige for at Atea kan modtage e-mails. DET ER JO MENINGEN!
Men hvad fabler du om med VPN og SSL certifikater. Den adresse du skriver er ikke VPN, og den kører ikke SSL. Du har bare lavet en telnet til port 80 big deal klovn!
Altså hver er det for nogle latterlige amatør efterlignere den har smidt det der i pastebin?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.