Politi finder menneskelige fejl i NemID-procedurer efter netbankstyveri

Fire personer er sigtet for at have stjålet penge fra en persons konto ved at fuske sig til af få udleveret et NemID i ofrets navn hos Borgerservice.

Københavns Politi har sigtet fire personer for i november 2013 at have fusket sig til at få udstedt en anden persons NemID ved at vise forfalskede papirer i Borgerservice. De sigtede skal efterfølgende have fået adgang til ofrets bankkonto og stjålet 70.000 kroner, som blev vekslet til bitcoins.

Dermed kan politiet samtidig have fundet en sikkerhedsbrist i procedurerne omkring udleveringen af NemID hos Borgerservice, der gør det muligt for bedragere at begå identitetstyveri. Det skriver tv2.dk.

De fire sigtede bliver i øjeblikket stillet i grundlovsforhør for lukkede døre. Derfor er det endnu småt med detaljerne. Dog erfarer tv2.dk, at de sigtede skal have fremvist forfalskede identitetspapirer i Borgerservice, hvor alle oplysninger på nær fotoet skulle have været ægte.

Ved at påstå, at de havde glemt deres adgangskode, fik de lov til at oprettet en ny hos Borgerservice, som de derefter sammen med NemID’et kunne bruge til at logge sig ind på ofrets netbank.

I følge tv2.dk er ingen af de fire, tre mand og en kvinde, i den sammenhæng blevet sigtet for dokumentfalsk.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
North Anderson

Hej Anders,

Det kan jeg egentlig godt forstå at du undre dig over. Og på en sådan lille presse meddelse, så er det også svært at se sammenhængen.

Men der er formentlig ikke fundet beviser for, at det er en og eller alle af de 3 personer der blev varetægtsfængslet, også er dem der har hentet selve NemID nøglekortet.

For at sigte nogen skal politiet jo i det mindste have andet end mistanke, der skal være en form for bevis / indicie.

Det kan være, at de 3 udelukkende har brugt de uretmæssige hentede NemID kort til at logge ind på banken og udnytte den uretmæssige tilgang. Og andre har foretaget fodarbejdet med at lave ID og hente NemID kortet.

Og hvis politiet kun mener at kunne bevise, at det var de 3 der loggede ind på netbankerne og foretog overførslerne og ikke har bevis for, at det er dem der har forfalsket ID og hentet NemID Nøglekortene, så kan de jo ikke sigte folk for det.

Bare en tanke

North Anderson

Øjensynligt kan man, hvis kan 'dokumentere', hvem man er, få udleveret et nyt NemID Nøglekort i borgerservice, de sletter også alle de tidligere passwords og udleverer en ny. Så er det lige til at gå hjem og bruge.

Det kan selvfølgelig ske, at en person mister sit NemID Nøglekort og/eller helt glemmer koden, så man har åbentbart lavet det sådant, at hvis man kan 'dokumentere' hvem man er, kan kan få et helt nyt sæt login, password og NemID Nøglekort på en gang i borgerservice.

North Anderson

Der er benyttet billed ID ved afhentning af NemID nøglekort i den sag som de blev fængslet for. Personen hvis 'ID' stod på udelveringen kunne ikke huske udleveringen, de foretager mange ekspeditioner i borgerservice, og kunne dermed heller ikke genkende nogen. Det bliver ikke engang noteret, hvilket ID der benyttes.

Så med mindre politiet har en grund til at mistænke dem for dokumentfalsk i forbindelse med udleveringen af NemID nøglekortet, så kan de heller ikke sigte dem for det. Der kan kun sigtes for det som man har begrundet mistanke elle beviser for.

Men som debatten viser, så ligger de jo lige for, at det kan være dem selv der har været involveret i at producere falske ID'er, så det er ganske givet med i efterforskningen og såfremt man finder noget, vil de nok blive sigtet for det også.

Det kunne jo være en del af grunden til, at de blev varetægtsfængslet, at der var ting i efterforskningen, som de kunne påvirke, hvis de blev sat på fri fod, det kunne jo indebære en undersøgelse af, om de foruden uberettiget adgang til netbank har været involveret i det bagvedliggende dokument falskeneri.

Jesper Foldager

Øjensynligt kan man, hvis kan dokumentere, hvem man er, få udleveret et nyt NemID Nøglekort i borgerservice, de sletter også alle de tidligere passwords og udleverer en ny. Så er det lige til at gå hjem og bruge.

Dvs. hvis Tove nede fra borgerservice ser sig sur på mig, kan hun i princippet lave et styk NemId i mit navn til sig selv, og så ellers gå i krig. Lade mig skille, tømme min bankkonto, og hvad man nu ellers kan online. Jeg er ikke helt tryk ved at så mange mennesker har mulighed for at lave NemId.

Er det virkelig muligt at en person i borgerservice kan lave et nyt password, og tilknytte et nyt nøglekort?

Anders Kjærgaard Hansen

Nu skal jeg først og fremmest sige at jeg ikke har læst andre kilder om hvad der er sket.
Men da jeg læste det tænkte jeg simpelt at følgende kunne være sket:
1. X får stjålet sin tegnebog, inkl. sygesikring, nemid og diverse andre kort/papirer af Y
2. Y går ned på BorgerService og beklager sin nød over ikke at kunne huske koden til NemID. Åbenbart tilstrækkeligt overbevisende med de stjålne kort og andet billedid.
3. "Tove" hjælper med at lave en ny adgangskode.
4. Det gamle NemID kort er stadig gyldigt for X, og Y har nu både kort og kode til X's NemID.
5. Go nuts... Køb BitCoins med penge overført med NemID - og overfør derefter BitCoins til din egen Wallet... I bund og grund kunne det godt være rigtigt svært at forklare at det ikke er X der stod bag.

For mig virker det umiddelbart som et sandsynligt scenarie - hvis altså man kan få nulstillet sin adgangskode uden at det kræver at man har et nyt nøglekort.

Jeg håber mere på det at det er ovenstående der er sket - end at alverdens medarbejdere på BorgerService har en stak NemID kort liggende som de kan koble op på enhvers identitet.

North Anderson

Hej Jens,

Det korte svar ser ud til at være JA!

MEN sådant er det jo hele vejen igennem. At benytte en andens ID kan jo gøres af din bankrådgiver, de har alle nødvendige data til at lave dette stunt. Det har stort set alle på kommunen også, de har adgang til CPR registeret, din læge, dennes sekretær, politi manden ... Der er mange der har adgang til nok data til at kunne udføre dette stunt.

Men der ER allerede overvejelser omkring hvordan man bedre kan sikre sig ved udlevering af NemID Nøglekort.

North Anderson

Hej Anders,

Ja, det kunne være et senario.

Men i det konkrete tilfælde. De har lavet et eller andet ID kort med A's identitet. Den der står på kommunekontoret har fået sat sit eget billede på det valgte ID kort. Når man så står på kommunekontoret og siger, mit nøglekort er væk, jeg har glemt min kode og jeg har brug for at starte 'helt forfra'. Hvis personen i borgerservice skønner at billed ID er rigtigt, så bliver ALT det gamle NemID slettet. Man får på stedet udleveret nyt NemID nøglekort, får ny kode ... det er lige til at gå hjem og benytte.

Når så personen med det rigtige ID vil benytte sit NemID nøglekort, så er det spærret og han skal til at finde ud af hvorfor.

I det kontkret tilfælde får man udleveret NemID Nøglekort og 13 minutter efter er man logget på personens bank og hæver de nævnte 70.000.

Personen opdager det få timer efter og det nye nøglekort bliver så spærret igen.

Det virker meget let.

Jacob Pind

Er jo ikke så meget anderledes de kan gøre, hvis ens kort pung med mere bliver stjålet, ja så ringer du til danid og får lortet spæret men ups, efetr du så har gjort det skal du havde sygesikkerings, pas, køre kort lukket ned, men du har lige lige lukket nemid så det kan du ikke bruge til det.
Så det de har en procedure som giver folk hurtigt adgang til et nyt singlepoint of failur id , er jo fuld forståeligt.

Lars Skovlund
Thue Kristensen

Er det virkelig muligt at en person i borgerservice kan lave et nyt password, og tilknytte et nyt nøglekort?

Nogen er jo nødt til at kunne gøre det.

Problemet er vel snarere at der (tilsyneladende?) ikke er en vente-periode, før passwordet bliver skiftet.

Der skulle så sendes en email, e-boks, og fysisk brev til kontoen, for at den nuværende ejer kan gøre indsigelse.

martin nyhjem

Når ens kreditkort bliver væk eller man glemmer koden, så kommer det med posten til ens folkeregister adresse. For at undgå snyd.
Når dit nøglekort bliver væk, kan borgerservice udlevere et nyt et til dig med det samme, og de kan give dig en midlertidig kode med det samme.

Side 7 i dokumentet her viser hvordan man gør :)

https://www.nets-danid.dk/sider/ra_univers/dokumenter/NemID_Problemlxsni...

martin nyhjem

Det gør de ja, men kun hvis borgeren mener det er akut :)

Side 14 i pdf'en:
"Hvis vi kan se, at banken allerede er ved at udstede NemID til borgeren, men borgeren intet har modtaget fra banken, kan vi genudstede ny midlertidig adgangskode og udlevere et nøglekort. Vi skal dog kun hjælpe med dette, hvis borgerens behov for NemID er ”akut”, idet vi ellers må henvise borgeren til at få hjælp hos sin bank."

Gert Madsen

Der er mange der har adgang til nok data til at kunne udføre dette stunt.


Ja, gennemgående er hele udgangspunktet at så snart man er ansat i en bank, på et apotek, hos kommunen etc., så er man aldeles ærlig og pletfri.

Hvis ikke man havde hyldet det mantra, kunne det være at man havde fået en bedre balance i registreringer og digitaliseringskrav.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize