Nordea i sikkerhedsbrøler: Kvinde fik NemID blot ved at oplyse cpr-nummer

En kunde hos Nordea i Rødovre fik udleveret et nyt NemID-nøglekort og personlig kode ved blot at møde op i banken og oplyse sit cpr-nummer.

Enkelte medarbejdere i banken Nordea har formentlig en smule røde ører, efter at én af bankens kunder, Isabella Lærketoft, i fredags fik udleveret NemID udelukkende ved at oplyse sit cpr-nummer, skriver Ekstrabladet.dk.

Ifølge reglerne skal man ellers kunne fremvise gyldig billedlegitimation som pas eller kørekort for at få den nye, fælles logon- og signaturløsning udleveret.

Isabella Lærketoft havde NemID i forvejen, men havde forlagt sit NemID-nøglekort. Derfor gik hun ned til sin lokale Nordea-filial i Rødovre for at bede om et nyt.

Ifølge Ekstrabladet.dk blev hun forarget over, at hun både kunne få udleveret et nyt nøglekort og sin personlige kode ved blot at møde op i banken og oplyse sit cpr-nummer.

»Alle kan jo i princippet gå ned og få udleveret mine koder, hvis bare de kender mit cpr-nummer. Det er da skræmmende,« siger Isabella Lærketoft til Ekstrabladet.dk.

Hun fortsætter:

»Først giver jeg mit cpr-nummer, så spørger han, om jeg vil have den personlige kode sendt på mail eller sms. Det svarer jeg sms til, og så læser han mit telefonnummer op, som jeg bekræfter. Jeg skulle ikke en gang selv sige det. Og så får jeg kodekortet i hånden.«

Kender banken kunden på forhånd, er gyldig billedlegitimation dog ikke nødvendig ifølge reglerne, skriver Ekstrabladet.dk

Men Isabella Lærketoft fortæller, at hun generelt ikke sætter sine ben i banken, da hun klarer det meste gennem netbank og i øvrigt kun har været kunde i filialen i to år.

Nordea har via sin pressechef, Claus Christensen, beklaget hændelsen over for Ekstrabladet.dk.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Andersen

Og her venter nu på 3. uge på min midlertidige adgangskode (som så lå, da ugyldig, i postkassen samme dag som jeg havde genbestilt fordi der var gået en uge siden den ifølge danid var blevet afsendt).

Jeg blev bedt om at tage ned på kommunen i arbejdstiden eller bare vente, vente, vente, på landpostbuddet. IKKE noget med at få oplyst noget som helst via SMS eller email, selvom det hele allerede ER registreret hos danid.

Hvem der bare var nordeakunde (såfremt man passer godt på sit cpr)

  • 0
  • 0
#2 Jette Hartmann

"og så læser han mit telefonnummer op, som jeg bekræfter"

hvis ikke det var hendes tlf.nummer ville hun ikke få den sms, og dermed er der ingen skade sket. Havde hun nu ikke bekræftet det nummer, men oplyst et andet, så havde banken nok også krævet yderligere dokumentation.

  • 0
  • 0
#3 Peter Lind

Havde hun nu ikke bekræftet det nummer, men oplyst et andet, så havde banken nok også krævet yderligere dokumentation.

Fordi, det faktum at hun nikkede godkendende til telefonnummeret får dig til at tro at sikkerheden i virkeligheden var i top i banken, og de havde kørt et par biometriske scanninger på kvinden uden at sige det? Du tror ikke det ville have været muligt for hende at sige: "Nej, jeg har faktisk lige fået nyt nummer her i går - jeg tabte min mobil i noget vand og skulle have en ny og så kunne jeg lige så godt bla bla bla".

Kæden er kun så stærk som det svageste led og medarbejderen hos Nordea var tydeligvis ikke bekendt med hvordan man bør sikre sig at personer nu er hvem de siger de er. Man fristes til at spørge om vi da overhovedet intet har lært af sagerne om Mitnick?

  • 0
  • 0
#5 Niels Dybdahl

"og så læser han mit telefonnummer op, som jeg bekræfter" hvis ikke det var hendes tlf.nummer ville hun ikke få den sms, og dermed er der ingen skade sket.

Det er ikke helt korrekt. Ideen med nøglekortet er netop at det ikke er tilstrækkeligt at aflytte en PC til at kunne overtage identiteten. Men hvis man har aflyttet den personlige kode og personnummeret, så kan man altså gå til Nordea og så også få nøglekortet.

NemID bør nu invalidere alle de NemIDere som den pågældende medarbejder eller filial har udstedt og medarbejderen bør finde noget andet at lave.

  • 0
  • 0
#9 Peter Lind

@Jette: det aner du jo heller ikke - men udgangspunktet er at banken IKKE har styr på sikkersprocedurerne i forbindelse med udlevering af detaljer omkring NemID. Så hvorfor du tror at banken prompte vil leve op til en god standard for årvågenhed sekundet efter de har fejlet er mig en gåde.

Derudover fatter jeg ikke hvad det er du vil have banken skulle spørges om. Tror du selv på at de ville svare ærligt og sige, at medarbejderen, der lige har fejlet kraftigt en gang meget muligt også kunne tænkes at fejle igen? Eller tror du at de ville dække ind og sige "Selvfølgelig ville der efterfølgende blive spurgt til ID kort hvis telefonnummeret ikke havde været genkendt!"?

  • 0
  • 0
#10 Ulrik Rasmussen

hvis ikke det var hendes tlf.nummer ville hun ikke få den sms, og dermed er der ingen skade sket. Havde hun nu ikke bekræftet det nummer, men oplyst et andet, så havde banken nok også krævet yderligere dokumentation.

Hvad hvis hun havde stjålet mobiltelefonen fra den retmæssige ejer? I tilfælde af at hun rent faktisk havde stjålet en håndtaske fra en anden person, så er sandsynligheden for at hun finder mobiltelefon + cpr-nummer i tasken ret stor.

  • 0
  • 0
#13 Palle Kaastrup

Jeg har fået oplyst min kones NemID-nr. blot ved at skrive en mail til NemID's support. I følge deres egne regler, skal man ellers møde op med gyldig legitimation i f.eks. et borgerservicecenter - men jeg sendte altså blot en mail til supporten som efterfølgende sendte mig oplysningerne tilbage via e-mail.

Det er især er skræmmende er, at jeg sendte mailen fra min egen mail adresse og fik svar tilbage til min egen mail adresse. Reelt set, burde nogen i supporten vel have tænkt to gange inden de sender oplysningerne til en anden mail adresse, end den som er registreret på kontoen.

NemID bliver Danmarkhistoriens største IT skandale nogensinde....

  • 1
  • 0
#15 Charlotte Kamp, DanID

Banken, eller Borgerservice, må kun oplyse NemID-nummer til dig som bruger, hvis du kan vise tilstrækkelig og gyldig legitimation. Og ikke på vegne af mand/kone/far/mor eller andre.

Det gælder også udlevering af nye nøglekort eller ny midlertididig adgangskode, hvis man har glemt den adgangskode, man selv har oprettet.

Du kan læse om legitimationskrav her:

https://www.nemid.nu/borger/bestil_nemid/faa_nemid_ved_borgerservice/gyl...

Det er i øvrigt de færreste brugere, der har brug for deres NemID-nummer, bortset fra første gang de logger på. Derefter kan man bruge cpr-nummer eller selvvalgt bruger-id, hvis man har oprettet det, til indtastning i "bruger-id" feltet.

Charlotte

  • 0
  • 0
#16 Palle Madsen

Det beroliger mig lidt. Og dog.

Det betyder at man (rent teknisk - og uden at kende den personlige kode) kun kan "stjæle" en brugers Nemid og tilknytte et nyt certifikat. Man kan ikke "stjæle" et certifikat som allerede er i brug. Så vil et sådant "stjålet" certifikat vel kunne spærres igen når det opdages ?

8-) Palle

  • 0
  • 0
#18 Charlotte Kamp, DanID

Det er heller ikke i overenstemmelse med proceduren og det er påtalt.

Der er en del brugere, der ringer til supporten for at aktivere kone/mand/mors/fars NemID. I de mange support kald jeg har overhørt, beder supporteren altid om at tale med den person, det drejer sig om og afviser at udlevere f.eks NemID-nummer. Hvis de ikke taler med den bruger, det drejer sig om, kan NemID-supporten ikke hjælpe.

Se også typiske spørgsmål som supporten får her: https://www.nemid.nu/support/ofte_stillede_spoergsmaal/spoergsmaal_nemid...

Charlotte

  • 0
  • 0
#19 Charlotte Kamp, DanID

Og så til den anden Palle..

Jeg er ikke sikker på, at jeg forstår dit spørgsmål. For at kunne stjæle en andens identitet skal man være i besiddelse af 3 ting - den anden persons bruger-id, deres adgangskode og også deres nøglekortet.

Hvis man kun har 1 eller 2 af delene "har" man ikke den andens NemID.

Hvis man har mistanke om misbrug, altså at nogen er i besiddelse af alle 3 dele, så har man pligt til at spærre NemID.

Håber det besvarede spørgsmålet.

Charlotte

  • 0
  • 0
#20 Anonym

Jeg er ikke sikker på, at jeg forstår dit spørgsmål. For at kunne stjæle en andens identitet skal man være i besiddelse af 3 ting - den anden persons bruger-id, deres adgangskode og også deres nøglekortet.

Alle elementer vil nemt kunne samles op med et simpelt kamera som filmer dit kodekort og indtastninger.

F.eks. er jeres egen demo-video rigeligt til at levere data til aktiv identitetstyveri.

  • 0
  • 0
#21 Palle Madsen

Hej Charlotte.

Jeg vil lige starte med at nævne hvor dejlig det er at "se" en DanID medarbejder deltage aktivt i debatten.

Jeg er helt med på at alle 3 ting skal være kendt for at overtage NemID. Jeg er heller ikke så bange for at en simpel tyveknægt skal stjæle mit id. Men der er altså mange tusinde medarbejdere hos DanID, alle bankerne, kommunernes borgerservice mm som har adgang til alle 3 oplysninger - som jeg forstår situationen. En hvilken som helst af disse personer kan i princippet slå mit id op, tildele mig et nyt nøglekort og en midlertidig kode. Det eneste disse 3 ting ikke kan give adgang til er den "gamle" signatur. Men med de 3 ting i hånden kan vedkommende tildele mig en ny signatur og sælge mit hus/ændre min skat/tømme min konto mm. Eneste forudsætning er at pågældende medarbejder har mulighed for at rette mit mobilnummer i systemet så vidt jeg kan se.

I det gamle scenarie kunne én person med skidte intentioner i det mindste kun få adgang til én af tingene.

8-) Palle

  • 0
  • 0
#22 Jesper Louis Andersen

Men der er altså mange tusinde medarbejdere hos DanID, alle bankerne, kommunernes borgerservice mm som har adgang til alle 3 oplysninger - som jeg forstår situationen.

Jeg tvivler stærkt på tusinder af medarbejdere kan ændre dine authentificerings-faktorer uden at du opdager det. Hvis systemet er fornuftigt designet, så bliver nøglekortet sendt af 3-part til dig, så en eventuel angriber ikke ad den vej kan komme ind. Det kræver at man går rimeligt planmæssigt til værks og bryder din postkasse op på den rigtige dag.

Nok er jeg ikke enig i strukturen i NemID-løsningen, men jeg har den antagelse at det ikke er designet så dumt at der er mere end en håndfuld topbetroede medarbejdere.

  • 0
  • 0
#23 Deleted User

Hej Charlotte,

Hvis de ikke taler med den bruger, det drejer sig om, kan NemID-supporten ikke hjælpe.

Nu kræver det intet andet end en smule frækhed, at påstå at man ER den person (ihvertfald hvis det er samme køn).

Uanset hvad man påstår i telefonen, håber jeg sandelig ikke at det på nogen måde er MULIGT at sende nøglekort/koder til andet end folkeregisteradressen på personen.

  • 0
  • 0
#24 Charlotte Kamp, DanID

Jo det kan man godt. Men din pointe er rigtig og valid, idet den fokuserer på sikkerhed. Og det har vi tænkt på - med lidt fleksibilitet in mente, da der er mange, som opholder sig i længere perioder andre steder end folkeregisteradressen- som i sommerhuset i perioder eller på arbejdsrejse i udland.

NemID giver mulighed for, at du kan få sendt fx. dit nøglekort til en anden adresse end din folkeregisteradresse. Men det kræver, at du har logget på selvbetjening med NemId og ændret forsendelsesadressen - før du har brug for det, og bestiller det nye nøglekort.

Men du har ret, supporten kan ikke sende et nøglekort til en anden adresse end den, der er opgivet i systemet. Og det er enten folkeregisteradressen (hvilket er det mest normale) - eller en alternativ adresse, som er registreret før udsendelsen.

NemID-support kan IKKE ændre adresse for dig. Så du har ret. Man kan ikke bare ringe til NemID-support og få sendt sit nøglekort til "hvorsomhelst". Det er ganske simpelt ikke muligt.

Charlotte

  • 0
  • 0
#25 Palle Madsen

Jeg tvivler stærkt på tusinder af medarbejdere kan ændre dine authentificerings-faktorer uden at du opdager det. Hvis systemet er fornuftigt designet, så bliver nøglekortet sendt af 3-part til dig, så en eventuel angriber ikke ad den vej kan komme ind.

Sådan er det jo tydeligvis ikke. Der står på www.nemid.nu at du kan få udleveret nøglekort og midlertid id i din bank eller borgerservice. Begge steder kan de desuden hjælpe dig med at finde dit ID hvis du skulle have glemt det. Det lyder i min øre som om at ansatte i bank og borgerservice har adgang til alle 3 faktorer på en gang.

Hvis udleveringen rent praktisk ALTID foregår ved at koden sendes til mobiltelefonen vil jeg håbe at det er til det nummer som er registreret hos NemID og ikke hos Banken. For det sidstnævnte kan den bankansatte naturligvis også ændre.

Jeg vil nok opdage på et tidspunkt at mit kort og kode ikke længere virker - men der kan gå lang tid hvis jeg lige er rejst på ferie (uden nøglekort) eller lign.

Hvad angår oprettelse af NemID må problemet være endnu større. Så vidt jeg har forstået kan man personligt henvende sig ved fx borgerservice og få oprettet NemID. Dvs at en borgerservicemedarbejder i princippet kan have oprettet NemID i mit navn uden at jeg kender noget til det - eller ??

Jeg kan godt se det praktiske i løsningen. Og jeg kan se et stort problem hvis det ikke er muligt at få nyt kort eller kode på mindre end 5-6 dage. Det har faktisk være en af mine bekymringer ved at skulle over til NemID. Måske det bare er noget så simpelt som en løsning hvor hver medarbejder i banken kun kan få adgang til ét element ad gangen, der skal til. Måske er problemet slet ikke reelt til stede fordi den tanke (eller noget smartere) allerede er tænkt og implementeret for længe siden. Det lyder bare ikke som om det er tilfældet.

Men jeg er bare ikke tryg ved at tusindvis af medarbejdere i banker og borgerservice landet over potentielt har adgang til alle 3 elementer.

Jeg håber min frygt er ubegrundet. Men tvivler indtil jeg hører en god og overbevisende forklaring.

8-) Palle

  • 0
  • 0
#26 Charlotte Kamp, DanID

@Palle

Der er 2 typer af medarbejder, der kan oprette NemID'ere. Medarbejder i Borgerservicecentre og skattecentre (som i dag også udsteder dit pas) eller bankmedarbejdere (som tager sig af dine penge).

Det er altså personer, der har betroede erhverv, og de er naturligvis underlagt en mængde regler og procedurer, som håndtere hvad de må og ikke må. Sådan var det før NemID, og sådan er det også efter.

I relation til NemID, oprettelser og håndtering af brugere gælder der ligeledes en mængde sikkerhedsmæssige procedurer, som det ikke giver mening at dele. Men vi logger bla. handlinger, som den enkelte medarbejder udfører på NemID (altså f.kes bestil nøglekort, bestil adgangskode etc).

I din forspøgsel omkring det tænkte eksempel hvor en skummel, betroet, medarbejder udsteder en ny midlertidig adgangskode på dine vegne og også et nøglekort, så vil du vide det på 2 måder. For det første kan du ikke logge på (for din egen adgangskode virker jo ikke mere). Og vi sender dig også et brev om, at din adgang er spærret. Så det vil du altså vide - og kan reagere.

Charlotte

  • 0
  • 0
Log ind eller Opret konto for at kommentere