Ordførere kræver redegørelse fra finansministeren efter Version2s MitID-afsløringer

3. oktober kl. 09:5013
Nicolai Wammen
Illustration: Nils Meilvang/Ritzau Scanpix.
Med en simpel stump kode er det muligt både at gætte titusindvis af danskeres brugernavne og at lukke brugere ude fra MitID-systemet i dagevis. Det er utilfredsstillende, mener it-ordførere, der beder finansminister Nicolai Wammen (S) om at redegøre for problemerne.
Artiklen er ældre end 30 dage

Flere it-ordførere vil have en redegørelse fra finansminister Nicolai Wammen (S) om, hvad han vil gøre for at adressere de udfordringer med MitID, som Version2 afdækkede fredag.

Det skriver Politiken, der foruden SF's it-ordfører Lisbeth Bech-Nielsen har talt med Venstres it-ordfører Christoffer Aagaard Melson, som har stillet et udvalgsspørgsmål til ministeren.

Læs også: Datacenter-chef frygter sabotage: »Vi arbejder målrettet på sikkerheden«

»Vi skal selvfølgelig finde ud af, hvad der er op og ned i det her. Danskerne skal være sikre på, at vi har styr på sikkerheden i de vigtigste systemer. Jeg vil bede ministeren om at redegøre for det her,« siger han til Politiken.

Artiklen fortsætter efter annoncen

Version2's afsløringer viser, at det med en simpel stump kode er muligt både at gætte titusindvis af danskeres brugernavne og at lukke de mange brugere ude fra MitID-systemet i dagevis.

Læs også: Mulig hjælp på vej til digitalt udfordrede: Bred politisk opbakning til digitalt fripas

»Hold da kæft. Jeg vidste godt, at det kunne lade sig gøre men ikke, hvor nemt det var. Jeg synes virke­lig, MitID har fejlet, og jeg synes, jeres undersøgelse viser det til UG med kryds og slange. Det tyder generelt på, at sikkerheden i MitID ikke er gennemtænkt i hele løsningen,« siger Jan Kaastrup, der er partner i it-sikkerhedsfirmaet CSIS, og som har siddet i European Cybercrime Centres rådgivende organ, til Version2.

Det er ikke lykkes Politiken at få en kommentar fra finansminister Nicolai Wammen, der henviser til Digitaliseringsstyrelsen.

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
3. oktober kl. 23:13

Mon ikke det kan være en god lejlighed til at præsentere en ny app, nu hvor sikkerheden (som med NemID) ikke er tilfredsstillende.

DitID eller DatID. Hvis man nu fisker et par milliarder op ad baglommen med det samme, så har vi den måske allerede i 2026.

1
3. oktober kl. 11:08

"»Hold da kæft. Jeg vidste godt, at det kunne lade sig gøre men ikke, hvor nemt det var. Jeg synes virke­lig, MitID har fejlet, og jeg synes, jeres undersøgelse viser det til UG med kryds og slange. Det tyder generelt på, at sikkerheden i MitID ikke er gennemtænkt i hele løsningen,« siger Jan Kaastrup, der er partner i it-sikkerhedsfirmaet CSIS, og som har siddet i European Cybercrime Centres rådgivende organ, til Version2."

Nu måber jeg..... Hvordan kan it-skkerhedsfirma ikke være klar over/opdage den slags, før medierne fortæller dem det? Hvordan kan man så sidde i European Cybercrime Centres rådgivende organ?

2
3. oktober kl. 11:16

Hvis man ikke har haft til opgave at undersøge det, det siger vel lidt sig selv?

3
3. oktober kl. 11:20

Tak for svar, Dennis Lerche.

Det er muligt, at jeg har en forkert forestilling om dette, men hacket beskrives som særdeles simpelt. Jeg ville jo tro, at det så er noget, der direkte springer i øjnene på sikkerhedskyndige, og at det ville være noget, sådanne automatisk ville tænke over, når de vel - som alle andre i Danmark - skulle overgå til MitId? Kan man som sikkerhedskyndig lade være med at forholde sig til de vigtige løsninger, man selv påtvinges - og da især indenfor ens eget interesse- og ekspertiseområde?

4
3. oktober kl. 13:45

Kan man som sikkerhedskyndig lade være med at forholde sig til de vigtige løsninger, man selv påtvinges - og da især indenfor ens eget interesse- og ekspertiseområde?

Jo, hvis man som dig er negativt indstillet på forhånd - men vi kan ikke vide alt - det er det for komplekst til, så derfor stoler vi på at andre har gennemgået løsningen - desværre viser det sig nogle gange at ingen har gjort det - indtil det bliver "afsløret".

8
3. oktober kl. 20:11

Da jeg fik MitId studsede jeg over, at brugernavn blev valideret før der skulle angives et password. Så jeg tænkte lidt over muligheden for, at man kunne få andre mennesker lukket ude ved at fyre forkerte passwords af på en kendt bruger.

Og så tænkte jeg ikke mere over det. At det ville være meget nemt at skaffe en masse brugernavne, faldt mig ikke ind. Men den slags indlysende tanker er oftest først indlysende, når andre har sagt det.

Og jeg ville nok have tænkt, at det måtte der være en sikring imod. Hvis jeg altså havde tænkt så langt.

12
4. oktober kl. 07:52

Jamen, min uforbeholdne undskyldning til Jan Kaastrup - jeg lod åbenbart min frustration over, at udrulning af MitId er nået så langt, med en så alvorlig og lettilgængelig sikkerhedsrisiko, uden at nogen har råbt op, uretfærdigt gå ud over hele sikkerhedsbranchen, hvor han så lige kom i skudlinjen. Det var ikke fair.

5
3. oktober kl. 13:57

Så må man vel konkludere, at hacket trods alt ikke er så simpelt, at det ligefrem springer i øjnene, Andrew Rump? Det, jeg har forstået af de forklaringer, jeg har læst, har ellers lydt som om, det er noget, en sikkerhedskyndig lynhurtigt ville få øje på. Men jeg erkender blankt, at det så nok er mig, der har misforstået det.

6
3. oktober kl. 18:07

At noget er simpelt betyder jo ikke, at det springer i øjnene på en som bruger det på den måde det er meningen det skal bruges (heller ikke for en som er sikkerhedskyndig).

Eksempel: MitID skriver man skal vælge et brugernavn som er svært at gætte. Det er der noget der tyder på at mange ikke har gjort (Version2 fandt 10.000 brugernavne ved systematisk at afprøve alle danske fornavne - se https://www.version2.dk/artikel/uhyre-simpelt-hack-kan-gaette-brugernavne-og-blokere-adgangen-til-mitid).

Men hvis ikke man har til opgave at undersøge det, så vil man jo bare (ihvertfald som sikkerhedskyndig bruger) vælge et brugernavn som er svært at gætte, man afprøver ikke nødvendigvis om systemet accepterer et simpelt navn. Eller om man for lov til at gætte forkert 200 gange i timen uden at blive lukket ude.

10
3. oktober kl. 23:25

...og hvor svært er det lige at checke om man prøver at vælge sit fornavn eller efternavn som brugernavn - og afvise registrering?

Man kunne også bare autogenerere tilfældige brugernavne til folk.

7
3. oktober kl. 18:18

Tak forsvar. Jeg bøjer mig for sagkundskaben - hacket er åbenbart ikke så simpelt, som jeg havde fået indtryk af.

Hvordan fik Version2 mon ideen?

11
3. oktober kl. 23:44

Hvordan fik Version2 mon ideen?

Har du set listen over de mest idiotiske passwords, den som starter med password og 12345678 etc.

Hvis Benny er så "genial" at han bruger password som password så vil han sikkert bruge Benny som brugernavn til MitID.

Det er noget af det første man lærer som hacker: selv de mest ufejlbarlige systemer bruges af fejlbarlige mennesker så hvis du ikke kan knække systemet kan du knække brugeren.