Kodefejl sendte Mit.dk til tælling i to døgn: Leverandør insisterer på, at løsningen var gennemtestet
Man skal næppe bladre længe i sin egen digitale postkasses mange dokumenter fra skatteforvaltningen, kommunen og ens arbejdsgiver, før man kan konkludere, at det meste nok ikke vedkommer andre – og da slet ikke fuldstændigt fremmede.
Alligevel var resultatet af en kodefejl i den stort opslåede Mit.dk-løsning fra Netcompany netop det. Ved lanceringen fik et endnu ukendt antal borgere adgang til andres postkasse, og de har dermed potentielt kunnet læse med i dybt fortrolige korrespondancer mellem borger, virksomheder og det offentlige.
Version2 har ligesom en stribe andre medier fået aktindsigt i Netcompanys anmeldelse af databruddet til Datatilsynet, og dokumenterne giver et detaljeret billede af et særdeles kritisk forløb i timerne omkring lanceringen af visningsklienten Mit.dk, der gik i luften om morgenen mandag den 21. marts, efter en proklameret fryseperiode var overstået og Næste generation Digital Post efter flere forsinkelser endelig gik i luften.
Netcompany lancerede løsningen en time før den officielle opstart, men på trods af forspringet på en time gik der blot omkring fem kvarter, før Netcompany måtte tvinge løsningen på jorden igen.
En af Netcompanys egne folk gjorde nemlig opmærksom på, at vedkommende havde fået adgang til en anden brugers e-mail og telefonnummer, og kun ganske få minutter senere var den så gal igen. Denne gang i form af en orientering fra en medarbejder hos Digitaliseringsstyrelsen, der havde fået adgang til en anden borgers offentlige digitale post. Det fremgår af dokumenterne fra Datatilsynet.
Selvom Netcompany ikke selv åbner de digitale konvolutter, er leverandøren godt klar over, at indholdet er voldsomt delikat og kan indeholde »alle de forskellige typer personoplysninger som indgår i offentlig digitalpost, herunder også følsomme personoplysninger og oplysninger om straffedomme og lovovertrædelser,« som der står i anmeldelsen til Datatilsynet.
Læs mere her: Netcompany bekræfter: Borgere fik adgang til andres digitale post
Teknisk knockout
Derfor fik katastrofemeldingen fra Digitaliseringsstyrelsens medarbejder da også Netcompany til at slå bremserne i og lukke for adgangen klokken 09.15. De næste to døgn kunne offentligheden se undrende til, mens et skilt på Mit.dk bekendtgjorde, at løsningen var ramt af problemer. Blandt de it-professionelle blev der gættet på, hvad der kunne være galt, mens man hos leverandøren knoklede på livet løs for at relancere løsningen på sikker vis.
Hos Netcompany fandt man, ifølge anmeldelsen ud af, at fejlen var en ‘kodefejl i komponenten der bruges til identifikation/autentificeringen af brugerne.’
Fejlen opstod, når flere brugere loggede på løsningen samtidig.
»I de tilfælde, kunne autentificeringsnøglen fra en bruger ("A") potentielt overskrive autentificeringsnøglen fra en anden bruger ("B»), hvorved bruger B kunne få adgang til bruger A’s digitale post. Fordi de fleste brugere loggede på for første gang, var konsekvensen i første omgang, at de berørte brugere kunne få vist kontaktoplysninger (telefonnummer og e-mail) for en anden bruger, hvis dette var registreret i Digital Post hos Digitaliseringsstyrelsen. Brugeren kunne derfor aktivt vælge enten at ændre kontaktoplysninger og/eller fortsætte ind i den digitale postkasse,« står der i anmeldelsen.
Den 21. marts 2022
Klokken 08:02 blev adgang til mit.dk, Netcompanys visningsklient til Digital Post, der er en pendant til e-Boks, åbnet for offentligheden. Officielt skulle denne først åbne kl. 09.00 og det var derfor i høj grad Netcompany ansatte der loggede på før tid.
Klokken 08:55 blev Netcompany gjort opmærksom på, at en bruger af mit.dk ved en fejl havde adgang til en anden brugers e-mail og telefonnummer i forbindelse med den indledende brugerregistrering.
Få minutter efter modtog Netcompany også en orientering fra en medarbejder fra Digitaliseringsstyrelsen som kunne oplyse, at medarbejderen havde kunnet tilgå og læse en anden borgers offentlige digitale post.
Netcompany foretog straks en fuldkommen lukning mod offentligheden samt indledte en analyse afproblemets karakter og omfang. Denne nedlukning var fuldendt for både web- og mobilklienten for mit.dk kl.09:15.
Netcompany indledte derefter en analyse af den bagvedliggende årsag til fejlen. I samme forbindelse blev der indledt en undersøgelse af, hvor mange borgere, der var berørt af bruddet samt hvilke personoplysninger, der måtte være blevet kompromitteret.
I perioden fra den 21. marts 2022 til den 23. marts 2022 arbejdede Netcompany på fejlretning, herunder implementering af en yderligere sikkerhedsforanstaltning, der skulle sikre, at fejlen ikke ville indtræffe igen når mit.dk blev åbnet på ny. Netcompany foretog en række tests, herunder bl.a. reproduktion af fejlen og verifikation på underliggende (ikke produktion) miljøer.
Den 23. marts 2022
Klokken 13:20 havde Netcompany løst den bagvedliggende fejl og alt fungerede som forventeligt, hvorefter Netcompany genåbnede mit.dk igen den
Netcompany er fortsat i gang med analysearbejdet i forhold til, hvor mange borgere, der var berørt af bruddet samt hvilke personoplysninger, der måtte være blevet kompromitteret.
Kilde: Netcompanys anmeldelse af sikkerhedsbruddet til Datatilsynet
»I de tilfælde, hvor login ikke blev afbrudt, har de angivne borgere både haft adgang til at se afsendere af og emnefelterne på en anden borgers digitale post. Potentielt har borgeren også kunne åbne den digitale post og gøre sig bekendt med indholdet heraf,« står der videre.
Læs mere her: Netcompany: Mit.dk-nedbrud skyldtes menneskelig fejl
Fejlen opstod ifølge Netcompanys anmeldelse som et resultat af, at flere brugere loggede på løsningen på det eksakt samme tidspunkt. Det hul blev ikke opdaget under diverse foregående test, og er ifølge leverandøren et resultat af at ‘hundredvis af brugere er logget ind samtidig i netop samme øjeblik, samt en ekstraordinært lang svartid fra NgDP (Next generation Digital Post).’
I forsøget på at genskabe fejlen viste test, at det ville kræve ‘hundredvis af loginforsøg inden for samme sekund/millisekund for at fejlen kunne genskabes.’ I de mere end to døgn, hvor visningsklienten Mit.dk var sendt til tælling fandt Netcompany fejlen og rettede den. Det skete via en ‘en kodeændring, der reelt set medfører, at der ikke kan ske en sammenblanding af de brugte ID’er’ samt en »en ændring til transaktionen mellem mit.dk og NgDP.
Testet før start
En naturligt spørgsmål er i sagens natur, om man ikke burde have fanget den her slags problemer i en form for test?
I anmeldelsen til Datatilsynet forsikrer Netcompany om, at man i arbejdet med visningsklienten har underkastet Mit.dk omfattende test.
»For at validere sikkerheden af mit.dk, blev der inden go-live først gennemført en intern penetrationstest af Netcompany's sikkerhedsteam. Senere blev der gennemført en sikkerhedstest af en tredjepart, F-Secure, hvor konklusionen var at løsningen var klar til ibrugtagning fra et sikkerhedsmæssigt perspektiv,« skriver virksomheden og uddyber: »Der er lavet omfattende performance-tests af løsningen inden go-live, herunder også af den komponent som var involveret i hændelsen. Det er dog ikke umiddelbart muligt, at lave store automatiserede performancetests som også involverer realistiske NemID-logins (pga. kravet om to-faktor autentificering). Derfor blev testen lavet med et simuleret login som omgik det almindelige loginflow via NgDP og Nemlog-in. Dette simulerede login kørte hurtigere end det rigtige login-flow på grund af, at NgDP kørte ekstra langsomt under det helt store peak-load der skete ved go-live af både borger.dk, virk.dk, e-Boks og mit.dk klienterne. Performance-test af mit.dk fandt ikke problemet ved programmeringsfejlen og ville heller ikke havde kunnet finde den,« konstaterer Netcompany i sin anmeldelse.
Læs mere her: Efter mere end to døgn er Netcompany-indgang til Digital Post nu tilgængelig
Ukendt antal borgere berørt
Ifølge anmdelsen til Datatilsynet er det ikke muligt at fastslå præcist, hvor mange borgere der reelt set har haft mulighed for at snage i andres digitale postkasse via fejlen på Mit.dk.
Netcompany er således ifølge dokumenterne, der er stemplet den 31. marts, fortsat i gang med at analysere, hvor mange borgere det reelt set drejer sig om. Analysen viser på anmeldelsestidspunktet, at 2182 borgere nåede at logge på Mit.dk, inden man fra centralt hold lukkede løsningen ned.
Af dem nåede 1356 borgere at åbne mindst ét dokument. Men så begynder klarheden også at erstattes af en mere spekulativ tåge. For det er svært at klarlægge, hvor mange af de borgere, der så rent faktisk blev præsenteret for andre borgeres post.
»Netcompany vurderer derfor, at det reelle antal af berørte borgere, der faktisk har været berørt af hændelsen, er markant lavere end det antal borgere som angivet ovenfor. Det er derfor vores skøn, at det reelle antal berørte borgere ligger mellem 10 – 50 og er for de situationer, hvor deres digitale post er gjort tilgængelig for en eller flere andre brugere,« står der i papirerne.
Netcompany arbejder på at underrette de borgere, der konkret har været berørt af hændelsen og har angivet, at det senest vil være sket d. 8 april.
Læs mere her: Netcompanys Digital Post-løsning kæmper med driftforstyrrelser efter hård debut
