Efter Version2-afsløringer: Digitaliseringsstyrelsen ændrer koden i MitID

PlusCybersikkerhed11. januar kl. 04:455

Illustration: Lea Woer.

I efteråret kunne Version2 afsløre en sårbarhed i MitiD, der gjorde det muligt at blokere tusinder af brugeres adgang med få midler. Udadtil fastholdt myndighederne, at sikkerheden var tip top, men nu afslører interne dokumenter, at man indadtil råbte vagt i gevær og ændrede koden i den centrale it-løsning.

Mads Lorenzen

Journalist

Mads Lorenzen

Journalist

Danmarks digitale universalnøgle, MitID, modtog tilbage i september 2022 en sikkerhedsopdatering, efter Version2 med hjælp fra et simpelt script kunne gætte tusindvis af brugernavne og efterfølgende blokere deres adgang til den vigtige tjeneste. Det fremgår af en aktindsigt, Version2 har fået i sagen.

Opdateringen blev rullet ud samme dag, Version2s artikler udkom den 30. september.

»I kan lige svare på ovenstående spørgsmål og ellers gøre parat til ændring ASAP,« lyder det ifølge aktindsigten fra Nets, der driver store dele af MitID-løsningen klokken 12.

Gratis adgang i 30 dage

Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Version2 og Ingeniøren, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement.

Indtast e-mail

remove_circle

Du accepterer vores abonnementsbetingelser for PLUS, når du tegner et abonnement eller prøveabonnement på PLUS. Læs betingelserne her.

Du accepterer Teknologiens Mediehus’ brugerbetingelser og persondatapolitik. Du accepterer derudover følgende kontaktbetingelser: Teknologiens Mediehus må lejlighedsvis kontakte dig om arrangementer, konkurrencer, analyser, nyheder, job, undersøgelser og tilbud via e-mail. I e-mails fra Teknologiens Mediehus kan der forekomme markedsføring fra samarbejdspartnere.

Du kan til enhver tid indstille dine kontaktpræferencer, under menupunktet ‘Tilladelser & Services’ på din ING/Profil.

Har du allerede et PLUS-abonnement eller klip?

Tak !

Vi har sendt en kvitteringsmail til .

Du bliver viderestillet til artiklen om få sekunder.

Dit medlemskab giver adgang

Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.

Fortsæt med MitIDA

Oplever du problemer med login, så skriv til os på websupport@ing.dk

Abonnementsfordele

vpn_key

Fuld adgang til Version2 og Ingeniøren

Fuld digital adgang til PLUS-indhold på Version2 og Ingeniøren, tilgængeligt på din computer, tablet og mobil.

drafts

Kuraterede nyhedsbreve

Det seneste nye fra branchen, leveret til din indbakke.

Adgang til andre medier

Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.

thumb_up

Adgang til debatten

Deltag i debatten med andre kloge læsere.

Jobs

Dine job

Vis alle

Fortsæt din læsning

Debatten

Log ind eller opret en bruger for at deltage i debatten.

settingsDebatindstillinger

Følg denne debat

Jørgen Elgaard Larsen

12. januar kl. 12:42

Hvis Digst udtaler offentligt, at der ikke er et problem, samtidig med at de forsøger at fixe det - så er det jo en direkte løgn.

Enten er det Adam Lebech, der bevidst vildleder offentligheden, eller også er der nogen i Nets/Digst, der har forholdt ham oplysninger.

Det synes jeg er dybt beskæmmende, især når det handler om en løsning, som hele samfundet skal kunne have tillid til.

more_vert
- insert_linkKopier link

Mark Lahn Nykjaer

12. januar kl. 07:24

En af problemstillingerne ligger vel i, at man fejlagtigt betrager CPR numre som hemmeligheder, selvom de næsten er offentligt tilgængelige?

more_vert
- insert_linkKopier link

Klavs Klavsen

11. januar kl. 14:56

Kun hvis nogen siger at kejseren ikke har noget tøj på - for vi lavet REEL sikkerhed. At lade dem forblive nøgne - er KUN en kæmpe stor risiko for alle os danskere der er tvunget til at benytte det.

more_vert
- insert_linkKopier link

Sven åge Jørgensen

11. januar kl. 14:15

jeg synes ikke, at det er OK, at version2 videregiver hints til, hvordan man kan omgå de benspænd mitid har indført for hackere. Men jeg synes I har ret i, at disse benspænd ikke synes at være særlig effektive. (jeg har gjort mit login væsentlig mere kompliceret)

more_vert
- insert_linkKopier link

Carsten Gehling

11. januar kl. 20:21

Da jeg første gang prøvede at logge ind med MitID, gik der ikke mange minutter, før jeg havde regnet ud hvordan man kunne høste brugernavne. Så Version2 har ikke afsløret noget, som en bare nogenlunde kompetent programmør ikke kunne nå frem til selv.

Det er helt til grin, at brugernavnet er en del af sikkerheden. Hvad fanden har de tænkt?

more_vert
- insert_linkKopier link

Efter Version2-afsløringer: Digitaliseringsstyrelsen ændrer koden i MitID

Jobs

Fortsæt din læsning

Britiske myndigheder advarer mod russisk-baseret hackergruppe: Angriber politikere og forskere

Amerikanske myndigheder ignorerer 60 procent af it-sikkerhedsanbefalinger

CFCS om byge af DDoS-angreb mod Danmark: »Det er en del af normalbilledet«

Britisk postvæsen ramt af »cyberhændelse«: Kunder bør ikke sende oversøisk post

Ruslands frygtede statshackere blev taget på sengen: Putin snød sine egne

Polen advarer om intensivering af russiske cyberangreb