Kæmpe sikkerhedshul på Nemid.dk

Nemid.dk har siden lanceringen af NemID udgjort en regulær sikkerhedsrisiko for de besøgende. Hjemmesiden er uofficiel, men det har DanID glemt at fortælle danskerne.

Den officielle hjemmeside for NemID, nemid.nu, har siden lanceringen i juli haft en uofficiel lillebror med navnet nemid.dk, skriver Politiken tirsdag.

Men nemid.dk har ingen relation til den officielle NemID-løsning fra DanID og har ifølge avisen udgjort en regulær sikkerhedsrisiko for de besøgende, der har klikket sig ind på nemid.dk i stedet for nemid.nu.

Ifølge Politikens oplysninger har hjemmesiden indtil sent mandag aften prydet sig selv med logoet for Borger.dk, som er danskernes officielle indgang til det offentlige via nettet.

Samtidig har de besøgende kunne logge sig på systemet med deres NemID-kode og tilhørende nøglekort.

Logud-procedure virkede ikke

Men ved at gøre det har de besøgende også risikeret at blotlægge dybt personlige oplysninger som skatteoplysninger, familiens cpr-numre samt SU- og lønforhold.

Ved at logge ind på nemid.dk har man automatisk kunnet sende e-mail krypteret til 161 offentlige e-mailadresser, herunder 70 kommuner.

Men den besøgende har derudover ikke kunnet foretage sig andet end det på hjemmesiden, bortset fra at trykke på logud-knappen for at forlade hjemmesiden.

Problemet er bare, at logud-knappen rent faktisk ikke logger den besøgende ud.

Derfor har den næste bruger af en offentligt tilgængelig pc, for eksempel på et bibliotek eller en netcafé, umiddelbart kunne fortsætte med at rode rundt i den foregående brugers oplysninger, hvis næste bruger tilfældigvis også har klikket sig ind på for eksempel borger.dk eller skat.dk, skriver Politiken.

»Det er helt håbløst - det er en ommer. Det er besynderligt, at den slags ting ikke er blevet clearet af, inden man sætter et stort offentligt system som NemID i gang«, siger regionsdirektør Michael Dahl fra sikkerhedsfirmaet F-Secure til avisen.

DanID erkender overfor Politiken, at man nok burde have advaret brugerne mod at besøge nemid.dk.

Efter Politikens henvendelse er sikkerhedshullet nu lukket ? forstået på den måde, at nemid.dk nu leder den besøgende videre til Det Offentlige Log-in-fællesskab, hvor der kan logges ind med både NemID og Digital Signatur.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (39)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Benny Jensen

"DanID erkender overfor Politiken, at man nok burde have advaret brugerne mod at besøge nemid.dk."
NEJ!!!
DanID burde have sikret sig domainet eller et andet navn inden de søsatte deres nemid.
selv med daglig tv-indslag der advare om at gå ind på den hjemmeside vil der altid være folk der per default trykker .dk og dermed havner på den forkerte side

  • 0
  • 0
Mikkel Kruse Johnsen

Det fremgår ikke helt om fejlen ligger hos DanID, er det deres logud funktion der ikke virker ?

Ellers kan man ikke rigtig sige det er DanID's problem. Hvis en person på et bibliotek eller netcafe ikke klikker på logud, men bare lukker tabben, men ikke hele browseren. Har man vel samme problem.

Men det er jo glæden ved at systemet kan bruges på alle computere...

Kæmpe sikkershul er det vel næppe!!

  • 0
  • 0
Jakob Køster

Det er som om at jeg ikke bliver overrasket...

nemid.dk har ingen relation til den officielle NemID-løsning fra DanID

Så er det vel et glimrende forsøg på fishing, og så er det formentlig strafbart.

Jeg føler mig mere og mere sikker, nu hvor min bank snart overgår til Nemid..

  • 0
  • 0
Jens Christensen

Nu, hvor jeg snart runder 40, er jeg sikkert blevet gammel og gnaven på forskud, men det er da langt mere end en 'ommer'!
Uanset om der er sket misbrug eller ej, er det en katastrofe at en så eklatant sikkershedsbrist kan sejle gennem systemet andre konsekvenser end indrømmelsen af, "at man nok burde have advaret brugerne mod at besøge nemid.dk.".

Jeg forventer ikke hoveder på et fad, men jeg forventer som både kommende bruger og betalende medejer, at der - synligt og validérbart - strammes op på metodik og sikkerhedschecks for den slags projekter.

  • 0
  • 0
Thomas Volden

Der er vel tale om at nogen anden har købt nemid.dk og ikke ville overgive det til danid, som så har været nødsaget til at købe nemid.eu.

Det er lidt ALA den sag som kører lige nu med nets.dk, der er også potentiel mulighed for at fishe efter betalingskort-informationer.

Folk må lige beslutte sig, er firmaer onde når de prøver at sikre sig domæner fra privatpersoner eller ej?

  • 0
  • 0
Claus Nielsen

Som jeg erindrer det, kan en tilsvarende ting ske ved brug af den gamle digitale signatur - eller for den sags skyld den fælles pinkode.
Problemet er at man for at gøre det "nemt" for brugeren ikke kræver nyt login når man bevæger sig fra eet domæne til et andet.

Men at der i dette tilfælde så oven i købet er en fejlbehæftet hjemmeside der hedder det samme som signaturen er utilgiveligt fra DanID's side.

Der er jo ikke tale om fishing. Nemid.dk logger jo helt legitimt ind via NemID.

Hvordan kan DanID seriøst påstå at dette ikke er noget de kan stoppe?

  • 0
  • 0
Christian Jørgensen

@Thomas:
Check lige dine fakta inden du blander tingene sammen. Et simpelt opslag hos DK Hostmaster viser, at nemid.dk IKKE er ejet af en privatperson, men af Assemble A/S, som har haft dette domæne siden 2007.

Så du kan IKKE sammenligne dette med sagen om PBS og nets-domænet...

  • 0
  • 0
Peter Andersen

Siden er signeret af økonomistyrelsen, det lyder efter min mening ret officielt. Og nederst i pol's artikel nævner de at logud-fejlen er rettet. Jeg har, lige denne gang, svært ved at mobilisere hverken harme eller panik - er det er fejl?

  • 0
  • 0
Maxx Frøstrup

Vi har tidligere her på sitet downloadet og gennemgået deres regne ark med support, og ligende. Det blev selvfølgelig lukket med kode et par dage efter det blev offentliggjort her i debatterne.

Jeg håber lidt nogen gemte en kopi.

Anyway, hvis nogen rent faktisk havde læst dette dokumment (journalister ect.) ville denne her artikel se noget anderledes ud da det megt tydeligt fremgår med dato at DanID var bekendt med problemstillingen og håbede på at have løst problemet til lanceringen, hvilket åbenbart ikke lykkes.

Den eneste nye information på Version 2 i denne artikel er faktisk at NemID.dk ikke var offentlig administreret, og at log-ud knappen ikke virkede efter hensigt...

Nu kunne det være sjovt at se en opfølgningens artikel hvor journalisten har dokumentationen i orden og forlanger et svar fra DanID. Men det er vel lige så realistisk som at vinde i lotto.

  • 0
  • 0
Thomas Volden

@Søren:
Jo nemid.nu, selvfølgelig :P

@christian:
Jo det er sandt, sløset af mig. - sandsynligvis er nemid.dk sågar en betalende kunde af NemId.

i nets-domæne sagen er der også tale om en virkomshed, nemlig en enkeltmandsvirksomhed (I følge CVR er virksomheden (cvr: 21956872) dog ophørt siden 31.07.2009 ?).

  • 0
  • 0
Michael Thomsen

Det er muligt, at der er tale om en fejl på nemid.dk's logout side; men som andre påpeger vil deres logout heller ikke nødvendigvis virke, hvis man blot lukker tabben i browseren, så fejlen ligger i virkeligheden hos Skat, SU og andre, som tillader brugeren at lave ændringer uden at man skal bruge nøglekortet.

PS: Hvem/hvad er nemid.dk? Jeg har selv været inde på din side fordi jeg trodede det var der, man ændrede sine nemid settings.

  • 0
  • 0
Lars Sørensen

Det siger DK-Hostmaster:

DK Whois databaseDK Whois databasen stilles til rådighed af DK Hostmaster A/S, udelukkende for at assistere brugerne i at finde informationer der vedrører .dk-domænenavne. DK Hostmaster A/S kan ikke garantere for nøjagtigheden af disse oplysninger og DK Hostmaster A/S forbeholder sig retten til, ved misbrug, at spærre for adgang til data.

  • Resultat af søgning -
    Domænenavn: nemid.dk
    DNS: nemid.dk
    Status: Aktivt
    Oprettet: 28. maj 2007
    Registrant:
    Bruger-id: AA10815-DK
    Navn: Assemble A/S
    Adresse: Valeursvej 12
    Postnr. & By: 2900 Hellerup
    Land: Danmark

Hvad har dette firma med NemID at gøre?

  • 0
  • 0
Michael Meisner

Nu er jeg i den heldige situation, at jeg stadig har og benytter mit gamle OCES login. Ved et besøg på ovennævnte nemid.dk kan jeg se at men her også kan benytte OCES.

Mon den nys opdagede fejl i relation til NemId også opstår ved benyttelse af OCES?

Hvem tør tjekke?

Og mon ikke det er rimeligt i hvert fald at spørge ind til, hvilke test- og kvaliteteskontroller DanID har fulgt, når sådan en fejl kan slippe uopdaget gennem. Hvilke andre uopdagede fejl kan så også findes?

Med venlig hilsen

  • 0
  • 0
Jesper Thusgaard

Hvis man via borger.dk går ind for at ændre sin adresse, ender man turen på en side uden mulighed for at logge ud. Hele proceduren er faktisk så besværlig at de fleste nok giver op og henter en flytte pakke på posthuset!

J;-)

  • 0
  • 0
Jakob Køster

I Assemble interesserer vi os for at hjælpe danske kommuner til bedre og billigere service gennem digital forvaltning. Vi ønsker at være førende indenfor digital forvaltning og vores drøm er at gøre dansk digital forvaltning til verdens bedste.

Vidst et almindeligt firma der tilbyger digitaliserings løsninger - og som så tilfældigvis også har registreret nemid.dk

  • 0
  • 0
Michael Meisner

På adressen Valeursvej 12, 2900 Hellerup er registreret to virksomheder: Assemble A/S og M. Svendsen Holding Aps.

M. Svendsen Holding Aps. er Holdingselskab for datterselskabet Assemble A/S (selskabets officielle telefonnummer er 3940 3242). Direktøren hedder Morten Svendsen.

Morten Svendsen er også administrerende direktør i Assemble A/S, der har følgende binavne registreret: ”Dokumentboks A/S”, ”Nemid A/S” og ”Nempost A/S”. Selskabet har 12 ansatte. Læs mere på www.assemble.dk.

  • 0
  • 0
Maxx Frøstrup

Det er IKKE en uopdaget fejl.
Det er en velovervejet risiko at de har holdt munden lukket og håbet problemet forsvandt før det nåede ud til almindeligheden.

Jeg sidder ofte og laver facepalms når de her debatter starter op igen.

Der er en gruppe herinde uden egentlig medlemmer og aktivitet, vi har diskuteret emnet til døde. Vi kommer ingen vegne og tingene tromler videre.

Jeg ved godt debatter ofte er mere et spørgsmål om store ord og hurtige tanker, men hvor ville jeg ønske folk tænkte før de skrev, eller i det mindste lige læste/skimmede artiklen og debattens linier, inden de begyndte at skrive.

Jeg håber ofte, måske lidt naivt, rent faktisk at indhente lidt information og viden omkring emnerne hvor jeg følger en debat.

Det gør dog ikke spørgsmålet mindre relevant at det bliver stillet igen og vi er vist mange der efterhånden gerne så et svar.

Men med NemID tror jeg ikke mere vi får information frivilligt overhovedet. VI kan gå dem på klingen med hvorfor de ikke meldte ud. Men vi vil se en fin spindoktor stå og bilde os et eller andet ind som "næsten er rigtigt" og får 90% af de opmærksomme til at holde op med at gøre modstand.

Indtil der sker noget hvor de ansvarshavende medieprofiler rent faktisk ikke bare kan stå og sige: ja ja, slap nu af vi har styr på det se selv.
Uden at folk bare spredes igen. Så er NemID kommet for at blive, det bliver bedre, sikre med tiden ligesom med hævekort. Vi komemr også til at betale for det når vi engang er modne, men det er først til næste regering (forudsat Løkke bliver siddende).

  • 0
  • 0
Ole Jørgensen

lidt off-topic, men: jeg har fået svar fra Oikos, andelskassen, det har været sagt om, at de ikke skifter til NemID. Det gør de, desværre, iflg ham, der svarede på mit konkrete spørgsmål (Allan Andersen). Han skriver, at de bliver en del af NemID, og som det ser ud nu, vil det ske inden udgangen af 2010.

Øv.

  • 0
  • 0
Carsten Nielsen

Efter hvad jeg kan læse på http://www.assemble.dk/Menu/Velkommen/NemID+er+mailadressen+i+NemPost
Så har Assemble siden 2006 brugt navnet NemID, da det er en del af deres mailsystem NemPost. At det offentlige så senere laver et system som kaldes NemId, er vel ikke Assembles problem.
Da Assemble jo så har anvendt navnet NemID siden 2006, så må det da være dem der har ret til navnet, og ikke det offentlige som først tager navnet i brug senere.

  • 0
  • 0
Morten Andersen

Jf. http://politiken.dk/tjek/digitalt/internet/1059042/dokumentation-her-laa...

Jeg kan forstå der kan være en fejl i www.nemid.dk så logud ikke virker.

Men hvordan hulen gør det det muligt at logge direkte ind på skat og en masse andre firmaer? Er www.nemid.dk ikke blot en almindelig dødelig udbyder/bruger af Nemid fra et privat firma (assemble)? Eller havde de et officielt samarbejde om single-sign-on? Eller er det selve nemiden der tilbyder sso?
Ville det være muligt for en systemadministrator hos Assemble at logge på de andre af mine sider i single-sign-on universet eller?

  • 0
  • 0
Per Hansen

Jeg syntes også at det lyder som en fundamental fejl i NemID (ikke nemid.dk), hvis det at man ikke lige får trykket på Logud knappen på én hjemmeside, betyder at den næste bruger får FULD adgang til ens NemId, med alt hvad den kan bruges til (ikke kun begrænset til den hjemmeside hvor man var logget på).

Enten det, eller også er artiklen ikke 100% i tråd med fakta ;)

  • 0
  • 0
Maxx Frøstrup

Jeg tror ikke det er så meget en fejl i det store perspektiv.
Hele grundlaget er jo at det skal være let at komme derhen hvor du skal bruge dit papkort, og at hele sikkerheden ligger i det pap-kort.

Så uden rent faktisk at have være indenfor og høre peptalks om hvordan og hvorfor det skal designes/kodes som det bliver, vil jeg antage lidt at tanken og filosofien i hele projektet hedder sig at alle forhindringer frem til "nøglekortet" skal udryddes.

Personligt må jeg sige at systemet er ret let at komme til hvis man ikke bliver forskrække, har lige hjulpet min mor på da hun skal bruge et OCES certifikat. Og hvis man tager "Ja-hatten" på er der ingen problem, men det er meget et spørgsmål om tillid.
Nu skal jeg så lige finde ud af hvordan man fjerner muligheden for at logge på med CPR, og hvordan man afmelder det, og hvordan hulen det rent faktisk hænger sammen med hendes bank (Som hun nægter at have adgang til på nettet).

En sjov detalje er at mange almindelige mennesker jeg hjælper med det bryder sammen i desperation når jeg peger på de kritiske faktorer (Nej-hatten).

Vi er derhenne hvor der kun er 2 muligheder tilbage. Enten stoler du blindt på at opgaven bliver varetaget til et funktionelt niveau.
Eller de finder en gruppe der fysisk kan møde op på christiansborg og få lavet nogle lov ændringer.

  • 0
  • 0
Thomas Christensen

Desværre er der lidt navne-forbistring, der forvirrer mange.

Udover NemID, som er PBS-løsningen, så har staten indført et NemLog-in, som er en SAML-baseret SSO til offentlige hjemmesider. De enkelte myndigheder er pålagt at understøtte NemLog-in.

Der er NemLog-ins single sign-out, der er problemet.

  • 0
  • 0
Ole Steffensen

Har lige prøvet at logge ind på skat.dk med gammel digital signatur, for herefter at lukke alle browservinduer. Hvis jeg åbner ny browser igen (Microsoft), skal jeg blot gå ind på skat.dk og så klikke mig ind på login med NemID, herefter har jeg igen afgang til alle oplysninger om mine skatteforhold. Der bliver ikke spurgt om nyt password.

Hvis jeg taster borger.dk, kan jeg også gå direkte ind og sende post i mit navn, uden ny login. Er der andre der kommer til samme resultat?

  • 0
  • 0
Maxx Frøstrup

Jeg prøvede med NemID at komme på Tinglysningen i Weekenden her og der skulle da anvendes pap-kort. Så det bliver jo anvendt..

Det lidt svære at se er nok lidt hvad "fejlen" egentlig er??

Jeg tror at hele NemID konstruktionen (som jeg har fokus på) rotere om det meget simple koncept: Alle skal på og bruge det så let som overhovedet muligt. Alt andet end Pap-kortet (som er synonymt med sikekrhed) der blokere adgangen skal bypasses eller omgåes så "usynligt" som overhovedet muligt.

At NemID.dk ikke er en del af DanID løsningen, skjules ved at rulle deres løsning på NemID, at de er noget helt andet er ligegyldigt bare det ser NemID-agtigt ud for fru Hansen.

At du ikke bliver logget ud ved at lukke for browseren, men faktisk bare kan åbne browseren også er du automatisk på er sikkert mere en feature end en fejl. Du kan jo ikke foretage dig nogle handlinger med NemID medmindre du skal have pap-kortet frem. Du ved se, men ikke røre. Ren feature.

At du kan bruge din gamle login metode er en fejl, ala hvis det ikke hedder NemID kan det ikke være sikkert (husk pap-kort), men det virker så de paranoide kan være med endnu.

Ja det er mit bud på tankegangen og årsagen til at det ikke er, og for den sags skyld bliver rettet. Efter et stykke tid har DanID erhvervet sig retten til nemid.dk, men jeg forestiller mig at de forhandlinger med Økonomistyrelsen trække ud indtil der er kommet mere skub i NemID'en og flere og flere dropper deres Digital signatur og Fælleskoder.

Jeg noterede mig tidligere at TastSelv koderne stadig vil virke på årets skatte opgørelse, hvilket siger en masse om hvorfor Nemid.dk ikke er DanID hænder endnu.

Så Ole, jeg tror stadig du vil kunne lave det trick du lige har lavet her til middag om 6 måneder. Løsningens forslaget vil formentlig hele vejen igennem til du bukker være : Brug dit NemID.

Mit løsningsforslag er brug kun OCES hvis du kan boote maskinen som minimum, og helst flashe dine ramklodser. Jeg antager nemlig at dit login er bundet sammen med din nuværende windows session.
Altså hvis du går til en anden maskine, skal du logge ind igen. Men test det endelig for mig.

  • 0
  • 0
Hans Schou

Ole Michaelsen,

lidt off-topic, men: jeg har fået svar fra Oikos, andelskassen, det har været sagt om, at de ikke skifter til NemID. Det gør de

Det måtte jeg så lige høre fra hestens egen mund:

Hej Hans

Meldingen for en måned siden var også at vi ikke blev en del af NEM id, men da vi ikke er på egen datacentral er det ikke eget valg.

Jeg var til møde i Silkeborg forrige fredag hvor det blev meldt ud at vi også ville overgå til NEM id inden udgangen af 2010 som en del af det netbank netværk vi er med i.

Personligt er jeg bestemt heller ikke tilhænger af NEM id, den sikkerhedsmæssige del af det kan jeg ikke gennemskue men det er et tilbageskridt rent praktisk at skulle fumle med nummerkort , tal osv.,
så jeg så gerne at NEM id ikke blev rullet ud. Til gengæld tror jeg ikke rigtig der er nogen banker der går fri af NEM id.

Med venlig hilsen

Allan Andersen

Jeg troede ikke Oikos var med i noget banksamarbejde, æv! Og nogen af de udenlandske banker tilbyder heller ikke netbank uden NemID. Så må man jo undvære....

  • 0
  • 0
Michael Dehn-Jensen

Citat:"Nu er jeg i den heldige situation, at jeg stadig har og benytter mit gamle OCES login. Ved et besøg på ovennævnte nemid.dk kan jeg se at men her også kan benytte OCES.

Mon den nys opdagede fejl i relation til NemId også opstår ved benyttelse af OCES?

Hvem tør tjekke?"

Det gjorde jeg!
Fejlen optrådte også med den gamle digitale signatur!
Men fejlen er rettet efter at Politiken omtalte fejlen i Politikens digitale avis:
http://politiken.dk/tjek/digitalt/internet/1059233/nyt-sikkerhedshul-i-d...

Og grunden til at tjekkede det var, at det var mig der fandt sikkerhedshullet på www.nemid.dk lørdag den 7. august 2010.

Jeg forsøgte i perioden 7. august til 11. september at få DanID, IT- og Telestyrelsen samt Datatilsynet til at reagere - men uden held.
Derfor henvendte jeg mig til Politiken.

  • 0
  • 0
Log ind eller Opret konto for at kommentere