Kriminelle stjæler cpr-numre fra bibliotekscomputere: »Det er et organiseret angreb«

Er cyberangreb ikke altid avancerede og organiseret for kommuner der deres biblioteker?

Det er stadig vigtigt, at man som borger selv er opmærksom på sin egen it-sikkerhed.

Han understreger også, at det offentlige ikke kan garantere sig helt mod lignende angreb fremover, fordi de kriminelle hele tiden finder nye huller og måder at bryde loven på.

Hvis man ved, at man ikken kan garantere borgernes rettigheder, og man ikke har nogen konkrete målepunkter at vurdere en digitaliserings effektivitet imod, så kunne man måske trykke lidt på bremsen med at digitalisere ligegyldige ting som Kørekort, Buskort, etc. Og da slet ikke ligge det ind bag CPR/NemID medmindre det virkelig er så vigtigt.

»Det er stadig vigtigt, at man som borger selv er opmærksom på sin egen it-sikkerhed. Det gælder både derhjemme, og når man benytter en offentlig computer. Den her sag er en reminder om, at it-angreb kun bliver mere og mere avancerede, så derfor skal man virkelig tænke sig om, når man færdes på nettet,« siger Christian Harsløf.

Jeg synes, det er en gang vås, ærligt talt.

Cpr-nummeret + en 4 cifret pinkode er universalnøglen på bibliotekerne.

Folk kan vanskeligt komme uden om at taste deres cpr-nummer ind på bibliotekernes computere, hvis de fx. skal printe.

Der findes enkelte computere, på bibliotekerne, hvor man ikke skal reservere en tidsperiode og logge ind (og de kan være optaget), men ellers foregår det, mig bekendt, således, hvis man fx. skal benytte bibliotekets printer:

Har man ikke sin egen bærbare med, logger man ind på en af bibliotekets maskiner (med egen ovennævnte cpr/kode). Herefter logger folk ind på deres mail, hvis dokumentet ligger dér, det kan også være i e-boks (NemID), eller nogle har haft et usb-stick med. Dokumentet åbnes (det kan være en skoleopgave, private og personlige papirer eller en koncertbillet, fx.) hvorefter man også skal logge ind på sin printkonto (anden, valgfri kode), hvortil man kan ”tanke op” via sit betalingskort.

Så jeg gad godt at vide, hvor mange af ovennævnte koder og adgange tyvene har fået fat i i denne omgang. Hvor meget har været koblet sammen her?

Hvorfor ikke lave en Live-Session, så man genstarter computeren hver gang nogen har været henne og pille ved den. Så er man da over at nogen har lagt et eller andet ind på den, til den næste i rækken.

Det er endnu usikkert, hvor mange cpr-numre, der er tale om, og hvad hackerne har gjort for at skaffe sig adgang til dem, men politiet er i gang med at efterforske. De har også taget kontakt til Nets, som sørger for at spærre ofrenes Nemid.

Jeg håber sandelig, at kommunerne sørger for at underrette de berørte personer og orientere om, at bl.a. deres NemID spærres. Ellers har vi en god sag for Datatilsynet.

Underretningen kommer dog uden tvivl som brev i e-Boks ... efter spærringen af NemID har fundet sted. ;-)

Hvorfor ikke lave en Live-Session, så man genstarter computeren hver gang nogen har været henne og pille ved den. Så er man da over at nogen har lagt et eller andet ind på den, til den næste i rækken.

Som fx OS2borgerPC? :)

https://www.version2.dk/artikel/dansk-open-source-system-skal-beskytte-b...

Underretningen kommer dog uden tvivl som brev i e-Boks ... efter spærringen af NemID har fundet sted. ;-)

Og her har vi så vinderen, for det er utvivlsomt sådan det vil blive gjort..

(lidt lige som den email jeg fik for snart mange år siden da jeg skulle skifte passwod til min arbejdsemail og fik at vide at jeg vide at der ville gå noget tid inden det ville træde i kraft og at jeg ville få en mail når det var sket.....)

vi lervrede for en del år siden computere til de lokale skoler, i starten satte vi et pci kort i, kan ikke huske navnet, så blev computeren sat tilbage til Admin opsætningen og intet var gemt på selve pc'en,de blev sennere udfaset til fordel for et program, mener det hed " deepfreeze " som gjorde det samme, jeg kan huske vi var på et kursus, hvor man formaterede harddisken hvorefter den blev genstarte og startede normalt op

vi lervrede for en del år siden computere til de lokale skoler, i starten satte vi et pci kort i, kan ikke huske navnet, så blev computeren sat tilbage til Admin opsætningen og intet var gemt på selve pc'en,de blev sennere udfaset til fordel for et program, mener det hed " deepfreeze " som gjorde det samme, jeg kan huske vi var på et kursus, hvor man formaterede harddisken hvorefter den blev genstarte og startede normalt op

Det er ikke svært at finde CPR numre eller gætte dem, hvis man kender fødselsdatoer og køn. Så konsekvensen bør være, at kendskab til CPR nummer alene ikke skal give adgang til noget som helst eller tillade folk at købe mobilabonnementer, låne penge osv.

Så man bør indføre en lov, der siger, at ethvert lån, abonnement eller lignende, der er indgået udelukkende med CPR-nummer (og evt. emailadresse) som legitimation ikke behøver at blive (tilbage)betalt. Og det er butikkernes ansvar at dokumentere, at de har fået gyldig legitimation, enten i form af NemID eller billeddokumentation. Så holder de nok op med den praksis.

Jeg er ikke voldsomt bekymret over, at hackere kan stjæle loginoplysninger til NemID. Der er trods alt også engangskoder, man ikke så nemt kan hacke sig til (så længe det er med papkort).

Som Sune også skriver ovenfor, findes der allerede en løsning der sikrer borgerne ved brug af offentlige computere.

Det er OS2 BorgerPC: https://www.version2.dk/artikel/dansk-open-source-system-skal-beskytte-b...

Som jeg forstår det, vil MitID implementere et setup magen til den Yubikey man kan købe idag - hvor man har sin private nøgle på key'en og denne IKKE kan stjæles. De kan så keylog'e koden til den fysiske nøgle -men de kan IKKE lave nogle bank operationer uden at have stjålet den fysiske nøgle.

Det burde gøre det noget sværere - og er nok den bedste måde at erstatte NemID kode-kortet på - såfremt man også lige slår en "touch-per-operation" requirement til (gør vi altid på vores yubikeys) - så hackere der har live kontrol over computeren - heller ikke kan udføre operationer på ens vegne (da usb stick'en så vil blinke og afvente at nogen rør den fysisk - og det gør man ikke, hvis man ikke ved man er igang med en operation der kræver det). Tilbage i det scenarie ville være en mulighed for race condition (at snige sig ind hvis de kan se man er "lige ved" at lave en operation der kræver fysisk touch - og så få sin egen ind foran - så brugeren alligevel rør.

Skal vi udover dem, skal vi kigge på den tyske løsning (bank id hedder den vist), hvor man har en seperat enhed, der viser hvad operationen rent faktisk ER - før man kan trykke godkende.

Så konsekvensen bør være, at kendskab til CPR nummer alene ikke skal give adgang til noget som helst eller tillade folk at købe mobilabonnementer, låne penge osv.

CPR nummer systemet bør skrottes/genopfindes/kald det hvad du vil, således at CPR nummeret udelukkende er en ikke informationsbærende identifikator, som ikke fungerer som andet end pointer til personen - det vil også betyde at "tyveri" af et CPR nummer er tindrende ligegyldigt, da det ingen værdi har i sig selv, og pointeren kan skiftes, uden det betyder noget fsva. den person den peger på.

Deepfreeze

Bruges allerede i nogle kommuner, problemet er bare, at ikke alle gidder genstarte PC'en, før de tager den i brug, så de får en helt ren maskine, eller bare gøre det, efter brug, så andre ikke kan finde dine spor, og så hjælper det jo ikke noget, uanset hvor meget sikkerhed, du læsser på maskinparken.

Hvem bruger egentligt en computer på biblioteket til CPR relaterede ting? De fleste har selv udstyr.

Derfor kan man godt frygte at det er de mindre IT kyndige som ikke selv har PC, der ryger i fælden, og derfor er mindre erfarne med de trusler der eksisterer.

Folk kan vanskeligt komme uden om at taste deres cpr-nummer ind på bibliotekernes computere

Man kan stadig få et lånekort med en talkode + selvvlagt pinkode, som man bruger i stedet for cpr. Det har jeg brugt alle årene siden digitaliseringen af bib-tjenesterne. Samme princip så jeg gerne udbredt til andre tjenester, gør det mere bøvlet for hackere.

Måder, cpr kan lokkes ud af folk på? En meget simpel kunne være - jf. egen oplevelse engang på min egen pc - at der i formularen istedet for stjerner vises tallene selv, men med meget, meget lille font. Så jeg så det først efter at være begyndt at indtaste... Standsede derfor op, genstartede pc'en, og nu var formularen ok. (Som jeg husker det, det er nogle år siden).

Er det overhoveder nødvendigt med hardware? Kan den ikke bare kører en "container", som genstartes ved hvert login, på den måde er det altid en clean no-state session man starter?

Kan den ikke bare kører en "container", som genstartes ved hvert login,

Container eller ej, man behøver ikke genstarte, logout er nok, men gør folk det?

logout er nok, men gør folk det?

Session inaktiv mere end f.eks. 10 min ==> logout kunne være en mulighed.

Det må kunne afhjælpe noget af problemet.

logout er nok, men gør folk det?

Dem med sølvpapirs hatte genstarter før under og efter, de fleste napper bare den nærmeste tændte maskine, og forlader den, når de er færdige, uanset hvor meget skiltning, der sættes op om lige, at klikke på afslut, efter brug.

Der kunne naturligvis ansættes en barnepige, men det tillader budgettet ikke.