Efter Version2-afsløringer: Digitaliseringsstyrelsen ændrer koden i MitID

Plus11. januar kl. 04:455
mitid
Illustration: Lea Woer.
I efteråret kunne Version2 afsløre en sårbarhed i MitiD, der gjorde det muligt at blokere tusinder af brugeres adgang med få midler. Udadtil fastholdt myndighederne, at sikkerheden var tip top, men nu afslører interne dokumenter, at man indadtil råbte vagt i gevær og ændrede koden i den centrale it-løsning.

Danmarks digitale universalnøgle, MitID, modtog tilbage i september 2022 en sikkerhedsopdatering, efter Version2 med hjælp fra et simpelt script kunne gætte tusindvis af brugernavne og efterfølgende blokere deres adgang til den vigtige tjeneste. Det fremgår af en aktindsigt, Version2 har fået i sagen. 

Opdateringen blev rullet ud samme dag, Version2s artikler udkom den 30. september.

»I kan lige svare på ovenstående spørgsmål og ellers gøre parat til ændring ASAP,« lyder det ifølge aktindsigten fra Nets, der driver store dele af MitID-løsningen klokken 12.

close
Gratis adgang i 30 dage
Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Version2 og Ingeniøren, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement.
remove_circle
remove_circle
Har du allerede et PLUS-abonnement eller klip?
Tak !
Vi har sendt en kvitteringsmail til .
Du bliver viderestillet til artiklen om få sekunder.
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Version2 og Ingeniøren
Fuld digital adgang til PLUS-indhold på Version2 og Ingeniøren, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
5 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
12. januar kl. 12:42

Hvis Digst udtaler offentligt, at der ikke er et problem, samtidig med at de forsøger at fixe det - så er det jo en direkte løgn.

Enten er det Adam Lebech, der bevidst vildleder offentligheden, eller også er der nogen i Nets/Digst, der har forholdt ham oplysninger.

Det synes jeg er dybt beskæmmende, især når det handler om en løsning, som hele samfundet skal kunne have tillid til.

4
12. januar kl. 07:24

En af problemstillingerne ligger vel i, at man fejlagtigt betrager CPR numre som hemmeligheder, selvom de næsten er offentligt tilgængelige?

2
11. januar kl. 14:56

Kun hvis nogen siger at kejseren ikke har noget tøj på - for vi lavet REEL sikkerhed. At lade dem forblive nøgne - er KUN en kæmpe stor risiko for alle os danskere der er tvunget til at benytte det.

1
11. januar kl. 14:15

jeg synes ikke, at det er OK, at version2 videregiver hints til, hvordan man kan omgå de benspænd mitid har indført for hackere. Men jeg synes I har ret i, at disse benspænd ikke synes at være særlig effektive. (jeg har gjort mit login væsentlig mere kompliceret)

3
11. januar kl. 20:21

Da jeg første gang prøvede at logge ind med MitID, gik der ikke mange minutter, før jeg havde regnet ud hvordan man kunne høste brugernavne. Så Version2 har ikke afsløret noget, som en bare nogenlunde kompetent programmør ikke kunne nå frem til selv.

Det er helt til grin, at brugernavnet er en del af sikkerheden. Hvad fanden har de tænkt?