»Eklatant brøler« i MitID: Alle kunne logge på med usikre CPR-numre

Plus24. oktober kl. 04:0821
MitID
Illustration: Ingeniøren.
Ifølge eksperter peger nyt hul i MitID på generelle sikkerhedsproblemer og de undrer sig over, at en så usikker funktion eksisterer i systemets kerne. Se en demonstration af angrebet nederst i artiklen.
Artiklen er ældre end 30 dage

I fire dage var det muligt for enhver at logge på MitID med notorisk usikre CPR-numre blot ved at ændre i den URL, der viser sig, når man logger på med MitID. På den måde kan man helt omgå at skulle indtaste brugernavnet. Det opdagede sikkerhedsafdelingen hos Mobilepay, hvor fejlen skaber bekymring.

Gratis adgang i 30 dage
Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Version2 og Ingeniøren, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement.
remove_circle
remove_circle
Har du allerede et PLUS-abonnement eller klip? Log ind east
Tak !
Vi har sendt en kvitteringsmail til .
Du bliver viderestillet til artiklen om få sekunder.
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Version2 og Ingeniøren
Fuld digital adgang til PLUS-indhold på Version2 og Ingeniøren, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
21 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
26. oktober kl. 09:35

Lav nu MitID til Open Source. Hvis vi skal kunne stole på det, SKAL det være åbent for offentligt review.. Det er TYDELIGVIS ikke sket i tilstrækkelig grad her - og sker jo tydeligvis ikke, hvis ikke koden er offentlig tilgængelig.

Hvis sikkerheden afhænger af at man ikke kan læse koden, så er det en MEGET vigtig ting at finde ud af ASAP og få fikset - da security by obscurity VIL blive fundet og udnyttet på et eller andet tidspunkt.

18
25. oktober kl. 16:46

Apropos NemID Jeg har indtil nu holdt MitID i armslængde afstand pga. årsagerne beskrevet i artiklen og her i kommentarfeltet (ja der kommer jo kun flere årsager). I dag skulle jeg ind netbanken og betale en +71-regning (Grøn motor-afgift fra Skattestyrelsen som nu havde fået en rykker, da jeg ved en fejl ikke havde fået netbankens PBS-service til at omfatte sådan) ... hidtil har jeg ved netbank-login kunnet snyde kravet om MitID-login. Dette ved at at bruge mit personlige NemID via "Erhverv NemID login". Men idag var dette ikke længere en mulighed, hvorfor jeg ringede til banken ... "tryk 1, hvis dit opkald drejer sig om MitID" ... men rigtig nok kunne service-medarbejderen kun hjælpe med implimentering af MitID ... IKKE udskyde kravet til 31. okt. 2022.... han henviste til bankens alm. kundeservice - som da jeg så endelig kom igennem - allerede uopfordret havde fjernet MitID-login-kravet... så nu har jeg altså en uge til valget imellem Pest el. Total-overvågning. Jeg har ikke noget at skjule, hvorfor jeg så implicit skulle være OK med MitID... men det er jeg ikke... problemet er jo at der reelt ikke er et alternativ til bare ar spise kamelen og sige ja tak til eIDAS-forordningen.... og skulle man køre den analogt, så er det er jo også ulovligt at beside +19.999 kr kontant (sort som hvidt)...

Fra retsinfo

Afsnit IV

Behandling af personoplysninger

Kapitel 9

Behandling af personoplysninger og videregivelse af risikodata

§ 13. Ved en privatpersons anvendelse af MitID eller en erhvervsbrugers anvendelse af det elektroniske identifikationsmiddel i MitID til login og autentifikation kan Digitaliseringsstyrelsen videregive autentifikationssvar, herunder RISIKODATA vedrørende den konkrete og enkelte transaktion, til en broker, der er tilsluttet MitID-løsningen eller NemLog-in.

Stk. 2. En broker kan foretage automatiske AFGØRELSER om log-in på baggrund af risikodata videregivet efter stk. 1.

... jeg syntes at markerede (står i Bold) lugter ubehageligt af uønsket "favre nye verden"... hvad betyder Risikodata ... eller rettere sagt, hvad kan sådan ikke dække over?

21
26. oktober kl. 11:13

NB! da MitID NETOP er en kobling til en (digitalt) identitet, så er videregivelse af "risikodata" uden tilsagn om (identitet)samtygge i min optik omgåelse af GDPR ... specielt når risikodata UDEN specifikation i princippet kan være en hvilken som helst form for data koblet til en fysisk persons digitale identitet.

19
25. oktober kl. 16:55

så nu har jeg altså en uge til at valget imellem Pest el. Total-overvågning.

Der findes Nordea's BankID.

Jeg ved så ikke om det hjælper, hvis man er rullet ind i statens/bankernes uhellige alliance.

17
25. oktober kl. 09:40

MitID appen bruger 12 forskellige OpenSource biblioteker som alle er listed i appen. Næsten alle apps bruger open source kode i store mængder, så det er der ikke noget odiøst i.

At bruge det i en app som er en del af en national kritisk infrastruktur, er muligvis lidt mere kritisk, da det må formodes at kræve en grundig sikkerhedsundersøgelse hver gang der sker en ændring i et af modulerne, og navnlig, hvis der rapporteres sikkerhedsbrist i et eller flere af dem. Listen er her, incl. links til GitHub:

16
24. oktober kl. 15:57

(Undskyld min uvidenhed)

Når MitID.dk ikke automatisk omdirigerer besøgende fra HTTP til HTTPS - har heller ikke aktiveret HSTS - (https://xn--sikkerpnettet-vfb.dk/site/mitid.dk/97702/#control-panel-10) og login-siden til MitID har HTTP-komprimering og begge domæner ikke har implementeret Content-Security-Policy (https://xn--sikkerpnettet-vfb.dk/site/nemlog-in.mitid.dk/97714/#control-panel-9) er det så muligt at manipulere besøgende, særlig dem med en ældre browser? Eller har jeg misforstået? Nogen som kan hjælpe med det spørgsmål?

11
24. oktober kl. 13:15

Jeg forstår ikke, at vi har ET digitalt ID... Vi brude have EN protokol (gerne en der allerede findes) som alle kan implementere. Myndighederne skal så certificere virksomheden, procedurerne og implementeringen.

14
24. oktober kl. 13:44

Jeg forstår ikke, at vi har ET digitalt ID... Vi brude have EN protokol (gerne en der allerede findes) som alle kan implementere. Myndighederne skal så certificere virksomheden, procedurerne og implementeringen.

Vi har ikke ET digitalt ID, som er eksponeret ud ad til, det er brokerne, der snakker med det samme digitale ID - det bliver de nødt til, da brugerne, afhængig af hvilket system de logger på kan komme ind via flere forskellige brokere. Brokerne bruger EN protokol til at snakke med det digitale ID og det er en standard. Hver broker kan så udvikle det API, som de ønsker at udstille til brugerne. Myndighederne certificere brokerne, men det vil kræve uanede resourcer, hvis myndighederne skulle certificere implementeringerne.

10
24. oktober kl. 13:07

Virker som om man kan stoppe hacket ved ikke at godkende login på sin tlf.

15
24. oktober kl. 14:44

Anders, man kan blokere din MitID ved at sende et nyt request til din MitID-app hvert halve minut. I så fald vil den hele tiden sige at du skal vente 29 sekunder før du prøver igen, og på den måde kan du ikke selv komme til at bruge din MitID før hackeren holder op med at sende anmodninger.

8
24. oktober kl. 12:23

Jeg bruger MitID med kodeviser. Jeg taster bruger-ID, 'vognretur', password, 'vognretur' og bliver så promptet for de 6 cifre fra dimsen.

Hvis det så er min bank, bliver jeg spurgt om CPR nummer (de tilbyder at huske det for mig - det ønsker jeg ikke)

Hvis det ikke er banken men fx MinSundhed eller e-boks, så kommer jeg direkte på.

dvs som forventet kender MitID mit CPR nummer, men fortæller det ikke til banken.

13
24. oktober kl. 13:38

Hvis det ikke er banken men fx MinSundhed eller e-boks, så kommer jeg direkte på. dvs som forventet kender MitID mit CPR nummer, men fortæller det ikke til banken.
Banken og lign. bruger sin egen broker (url: [bank].mitid.dk), som ikke har adgang til cpr-nr, men som kan spørge om det UUID der logger ind matcher med det CPR-nummer brugeren indtaster, mens det offentlige bruger digitalstyrelsens broker (url: nemlog-in.mitid.dk), som pr. default har adgang til cpr-numre.

12
24. oktober kl. 13:33

Hvis det ikke er banken men fx MinSundhed eller e-boks, så kommer jeg direkte på. dvs som forventet kender MitID mit CPR nummer, men fortæller det ikke til banken.
Banken og lign. bruger sin egen broker (url: {bank}.mitid.dk), som ikke har adgang til cpr-nr, men som kan spørge om det UUID der logger ind matcher med det CPR-nummer brugeren indtaster, mens det offentlige bruger digitalstyrelsens broker (url: nemlog-in.mitid.dk), som pr. default har adgang til cpr-numre.

6
24. oktober kl. 10:57

Er det ikke samme løsning som f.eks. BEC bruger i deres bank apps? I min netbank app fra en af BECs bankkunder taster man sit CPR-nummer ind i app'en og bliver sendt til en MitID-broker uden indtastning af brugernavn. Præcist som hos AP Pension bare fedtet ind i netbank app'en. Vil mene at det har været sådan siden de lancerede MitID hos den specifikke bank.

7
24. oktober kl. 12:14

Hensigten med funktionaliteten er "ReAuthentication", hvilket også er navnet på funktionaliteten. Det vil sige, at man har været logget ind og ud fra det, burde en leverandør som BEC kunne gøre dit login nemmere fremadrettet. Men det BØR kræve et login.

Denne funktionalitet understøtter to muligheder for at skippe brugernavn:

  1. anvende et UUID (f.eks. 7cb296ac-d652-4e1f-99ea-a4384eccf89d), som fås igennem et tidligere login fra samme bruger
  2. anvende CPR

Problemet er, at det i MitID-specifikationen ikke er nødvendigt at have haft et tidligere login. Der er intet der binder din "reauthentication" til login. Ergo kan du bare bruge mulighed 2). Ideelt set, er det kun muligt at anvende 1). Det er dér, vi skal hen. Ikke at man uden videre kan misbruge et CPR som brugernavn.

9
24. oktober kl. 12:58

Tak for uddybningen Morten!

5
24. oktober kl. 10:47

Man bemærker hvor ofte politikerne fletter "Ansvarlig" ind i præsentationen af deres løsninger på forskellige problemer. Det er et hurtigt signal til Finansminsteriet om at man nidkært overholder Budgetloven, så ingen chefkonsulent får kaffen i halsen.

Problemet for politikerne er at "Noget, som måske kan gå galt" ikke rigtigt har nogen veldefineret økonomisk værdi før hændelsen indtræffer. Det er svært at argumentere for inden for rammerne af "Den Ansvarlige Politik". Det er ikke særligt "Ansvarligt" at beskæftige sig med hypotetiske ting. Man risikerer at sløse ressourcer væk på noget som aldrig sker (eller få skarp kritik fordi noget man forhindrede slet ikke skete, ala "år 2000 problemet"). På den anden side, hvis det nu går galt, så findes der en "Case" og derefter kan der laves planer og et budget for at løse det. Så er man "Ansvarlig" igen :).

M.A.O.: Der sker ingen ting før systemet bliver hacket, godt og grundigt.

4
24. oktober kl. 09:55

Har nu brugt MitID mod forskellige sider og der er udfordringer: Brugerid accepteres, dog efter laaang tid og det er muligt at fortsætte med valideringen/acceptere på telefon, desværre ender det i teknisk fejl, dermed ingen adgang til relevante hjemmesider. Lige nu er der seriøse problemer, men driften er normal!!! Antagelse. Kl. 09:52. Et system hvor driften er udfordret, er sikkerhed sekundært??

1
24. oktober kl. 07:21

Puh, man mister jo pusten helt fra morgenstunden...

Det er jo ufatteligt - det er eneste måde at beskrive det på.

Og én ting er, at man designer løsningen forkert. Men at man så yderligere lægger brugsanvisning til fejlen offentligt ud.....Man fattes ord...

"Digitaliseringsstyrelsen har ikke besvaret Version2’s spørgsmål om, hvorvidt man tester løsningen løbende."

Nej, hvad rager det også borgerne? Her bliver jeg harm. For det er svært at forestille sig anden forklaring, end at man ikke tester løsningen løbende. Og det er jo i givet fald ligeså ufatteligt som den nævnte fejl.

(Det kan selvfølgelig bare være en svipser, at man ikke har svaret - med mindre Version2 har spurgt forgæves flere gange).

Midt i sidste uge forsøgte en bekendt at komme ind på flere forskellige abonnementer, hvor der skulle skiftes betalingskortnummer. Ingen af stederne virkede MitId, og der kom mystiske kortvarige meddelelser, som man dårligt kunne nå at læse, inden de forsvandt igen, i retning af "Hvis du har indtastet brugernavn, og det ikke virker, så prøv igen lidt senere..." (sådan ca.). Lidt senere virkede det. En anden fortalte om login-forsøg, som blev besvaret med noget i retning af "Der er fejl i login, prøv igen kl. xxxx (præcist tre timer senere)". Et øjeblik efter virkede det alligevel. Ikke betryggende.

Man får indtryk af, at de fejl med sikkerheden og funktionen i MitID, som når frem til offentlighedens kendskab, bare er toppen af isbjerget.

Ofte, når man støder på MitId-problemer, henvises til i stedet at bruge NemId. Men om få dage lukker NemId i flere sammenhænge - det bliver muntert. Kaos venter.

Men at udsætte udfasningen af NemID? Ikke tale om - når man har besluttet hovedet-under-armen digitalisering, så er det et løfte, man saft-susme agter at holde.

3
24. oktober kl. 08:26

Kleptokrater, andet ord beskriver ikke den nyeste fejl. Det er for dårligt!

Det er som en ond drøm. Ingen test - må man gå ud fra. Fix det NU! Eller endnu bedre, skrot det; så der ikke kan ske nye fejl.

2
24. oktober kl. 08:07

Men at udsætte udfasningen af NemID? Ikke tale om - når man har besluttet hovedet-under-armen digitalisering, så er det et løfte, man saft-susme agter at holde.

Det er faktisk essensen af problemet i mange prestigeprjekter: failure is not an option!

Ikke fordi det reelt ikke er det men fordi man har besluttet at det ikke er!