Fik adgang til en anden brugers data ved login på Jobnet med NemID

En bruger af Jobcentrenes jobportal Jobnet fik adgang til en anden brugers oplysninger, da hun loggede ind via NemID. Både Jobnet og DanID afviser, at der sker fejl.

Adgang til det offentliges jobformidlingssystem Jobnet via NemID burde sikre, at brugerne kun får adgang til at se deres egne personlige data. Men da Helle Christiansen loggede sig på Jobnet, fik hun vist en anden brugers oplysninger.

»Pludselig havde jeg adgang til hendes fulde navn og adresse. Derudover kunne jeg se hendes personnummer, som man sammen med de øvrige informationer nemt kunne bruge til identitetstyveri,« siger Helle Christiansen til Computerworld.

Da hun henvendte sig til Jobnet i Fredericia, fik hun imidlertid blot besked på, at sådan en fejl ofte sker, og hun blot kunne oprette et login til Jobnet uden NemID.

Hos Arbejdsmarkedsstyrelsen, der administrerer Jobnet, afviser man, at der sker fejl, hvor en bruger får adgang til en anden brugers personlige oplysninger.

»Vi har ikke kendskab til, at borgere med NemID har fået adgang til andre borgeres oplysninger. Teknisk vil jeg anse det for usandsynligt, fordi der er indlagt så meget sikkerhed, der skal udfyldes,« siger kontorchef Birte Iversen fra Arbejdsmarkedsstyrelsen til Computerworld.

Også DanID, der administrerer NemID, afviser at have hørt om denne type fejl.

Version2 har tidligere skrevet om en episode, hvor Danske Bank udstedte NemID til en 17-årig, men knyttede det til den forkerte kunde i systemet.

Læs også: Danske Bank gav gymnasieelev forkert NemID-identitet

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Lykke

Så nu afviser DanID sikkerhedsproblemer med "Det kan ikke ske fordi vi ved det er sikkert"? Det er mere end skræmmende at vi tillader og acceptere en sådan opførsel på et system som alene beskytter størstedelen af alle vitale systemer man som privatperson har kontakt til!

Michael Frandsen

Jeg læser det ikke sådan at det er NemID der er problemet men mere at Jobnet har et problem med at håndtere login. Om man så havde det perfekte login system vil den slags fejl stadig kunne ske (lige som Danske Bank havde forbundet NemID til forkert bruger konto).

Maxx Frøstrup

Nu skal man heller ikke give NemID skylden for alt. På den anden side kan vi jo lige her se hvad jurisk limbo kan betyde.

Lad os forestille os at Helle rent faktisk havde meldt sin medsøster ud af JobNet.

Hvad ville have været sket?

Ifølge JobNet kan det ikke lade sig gøre, og i Følge NemID kan det heller ikke. Altså må hun vel selv have gjort det med forsæt, men mindre hun kan modbevise denne påstand.

Jeg spørger så: Hvordan skulle hun have haft en chance for det, hvis ikke lige CW havde snakket med Helle og NemID solgte billige overskrifter de næste par dage?

Jesper Lund

Der er, helt berettiget, et stort ramaskrig om Sony's PSN deroute (en sag hvor der sættes nye standarder for inkompetence)
http://www.version2.dk/artikel/18970-sonys-deroute

Hverken Sony eller det offentlige i Danmark er i stand til at passe på vores data i de centrale og stadigt mere integrerede databaser. Begge parter har, med al ønsket tydelighed, dokumenteret at man ikke kan have tillid til dem.

Hos Sony er det trods alt kun en begrænset mængde personhenførbare informationer som er lækket, og det er frivilligt om man vil være kunde hos Sony. Det er ikke givet at der bliver ved med at være 70 millioner PSN abonnenter.

Det offentlige gemmer langt flere data om os end Sony gør, og det er ikke frivilligt om man vil registreres i de offentlige centrale databaser (SKAT afviste mit ønske om at blive slettet). Det er heller ikke frivilligt om man vil have sine egne data eksponeret mod internettet via NemLogin og det øvrige NemXXX skrammel som det offentlige udvikler.

Sony lukkede trods alt deres IT-systemer helt ned da Sony blev klar over at de centrale databaser var kompromitteret. Lidt realitetssans har Sony trods alt.

Men hvad gør man hos Jobnet? Siger til borgeren "det sker hele tiden og du kan bare oprette et login uden NemID".

Den lader vi lige stå et øjeblik: at oprette et login uden NemID hjælper ikke mod at dine data bliver misbrugt af andre eller fremvist til de forkerte (på grund af fejl og inkompetence). Det beskytter alene mod at du selv kommer til at se andres data..

Identitetstyve bruger også NemID (patent pending i East Texas for det reklameslogan).

Jesper S. Møller

Nu venter vi bare på opfølgingen fra journalisterne: Hvor er den umulige fejl?

DanID melder hus forbi, men er vel ikke frikendt før de kan fremvise en log for Helles login?

JobNet bruger FOBS ("Nemlogin" eller hvad det hedder), som også er en sandsynlig fejlkilde. Også de har vel en log, som kan bevise deres uskyld.

Og så er der altså JobNet selv, som i dette scenarie modtager en SAML Assertion fra FOBS, og ud fra (antageligvis) CPR nummeret slår brugeren op i sin interne base.

En angrebsvektor er jo bare at spørge Jobnet i Fredericia om det er dem, eller Arbejdsskadestyrelsen, der har ret?

Om man så havde det perfekte login system vil den slags fejl stadig kunne ske

Øh? Der findes nu en hel del loginløsninger, som rent faktisk ikke logger mennesker ind som den forkerte bruger - det handler jo om en konkret fejl på en konkret løsning (enig i at det sagtens kan være et problem i Jobnet, en race-condition eller sådan noget). Det bør vi altså kunne forvente hvis vi skal betro vores data til den type systemer.

Og ja, alle kan begå en fejl, men selv i det næsten perfekte system, udviklet af (dygtige) mennesker og reviewet af (lige så dygtige) mennesker er det altså muligt at holde den slags fejl fra døren med lidt snilde.

Havde SKAT ikke en tilsvarende fejl sidste år - som skyldtes en uheldig global variabel som skulle have været lokal?

Jens Madsen

Intet er bevist, før det er reproduceret.

På computere, hvor mange har adgang, kan opstå mange fejl - f.eks. cache der ikke er tømt, password data huskes, eller ganske enkelt, at den forrige ikke har korrekt logget ud.

Jeg mener også, at det er muligt på mitiak.dk, at se forrige persons data, hvis vedkommende ikke har logget korrekt ud.

Jesper Lund

Vi mangler faktisk oplysning om det var hendes egen computer eller en offentlig en. Man bør på offentlige altid lukke browseren.

Nu bruger jeg ikke NemID til andet end netbank (og kommer heller aldrig til det), men det er mit indtryk at det ikke er nok at lukke browseren med de offentlige "services".

Hvis du ikke "logger ud", må du regne med at de næste har fri adgang til dine data. Ikke specielt logisk og heller ikke særligt brugervenligt. Din browser crasher: er du så logget ud?

Log ind eller Opret konto for at kommentere