Se og Hørs tys-tys-kilde havde adgang til NemID-database

IBM-medarbejderen, som solgte oplysninger fra Nets' it-systemer til Se og Hør, fik også adgang til NemID-systemet, viser Nets-redegørelse.

Den hemmelige kilde, som Se og Hør gennem flere år betalte for oplysninger om kendte danskeres brug af kreditkort, havde også adgang til NemID. Det skriver DR Nyheder.

Se og Hør-kilden arbejdede som systemadministrator på Nets' systemer hos IBM, og ud over at have adgang til kreditkortoplysningerne, så havde han også adgang til den database, der rummer NemID-oplysninger.

Medarbejderen har ved mindst én lejlighed skaffet sig adgang til systemet, som IBM står for driften af, og som Nets har udviklet for Digitaliseringsstyrelsen.

Oplysningen stammer fra Nets selv, som har skrevet om IBM-medarbejderens adgang til NemID-databasen i en redegørelse om sagen.

Det fremgår af redegørelsen, at medarbejderen kun kunne se administrative data om NemID-brugerne og ikke kunne få adgang til for eksempel passwords eller borgernes private nøgler.

Medarbejderen arbejdede ikke til dagligt med NemID-systemet, men var en del af en backup-funktion, der kunne træde til.

Læs også blogindlæg: IBM Mainframes er en sikkerhedsrisiko

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Nielsen

Kommercielle tjenester som Gmail tilbyder en log, så man nemt kan se om der er sket misbrug. Man skal blot logge ind på Gmail og klikke "Detaljer" (nederst til højre). Så man kan se detaljer om hvilke måder tjenesten er blevet brugt på. Jeg kan både se IP adresser samt klienter, der har tilgået Gmail data. På den måde er det nemt at se om det kun er mig selv der logger ind - eller om der skulle være nogle, der brugte mit log ind til at snuse i mine data.

Jeg har længe undret mig over, hvor jeg finder noget lignende for NemID - så jeg kan se om andre har brugt mine koder.

  • 1
  • 1
Ove Andersen

Problemet i denne konkrete sag er vel, at en sådan log normal kun vil logge når der tilgås data via APIer (f.eks. fra en callcenter), og vil normalt ikke være knyttet direkte til database loggen, som jo muligvis vil være den eneste log et direkte database kald vil være gemt i.

  • 3
  • 0
Morten Fordsmand

Jeg har længe undret mig over, hvor jeg finder noget lignende for NemID - så jeg kan se om andre har brugt mine koder.


Øh måske forstår jeg ikke hvad du spørger om, men der er en meget fin facilitet inde på nemid.nu de kalder Hæøndelseslog, hvor du kan se alt hvad der er sket hvis du bruger det detaljerede view.

https://www.nemid.nu/dk-da/support/vejledninger/vejledninger_til_selvbet...

  • 0
  • 0
Martin Nielsen

Problemet i denne konkrete sag er vel, at en sådan log normal kun vil logge når der tilgås data via APIer (f.eks. fra en callcenter), og vil normalt ikke være knyttet direkte til database loggen, som jo muligvis vil være den eneste log et direkte database kald vil være gemt i.


Men når man bruger NemID koden, vil det blive logget ;)

Øh måske forstår jeg ikke hvad du spørger om, men der er en meget fin facilitet inde på nemid.nu de kalder Hæøndelseslog, hvor du kan se alt hvad der er sket hvis du bruger det detaljerede view.


Ja, det var noget i den stil jeg ønskede. Den kunne dog godt være mere detaljeret - men det er et godt skridt på vejen. IP-adressen er lidt utilregnelig, da den kan skifte - derfor vil det være godt med browserinformation og så videre, da man selv har styr på hvornår den ændre sig.

Og hvis jeg hos Google logger på fra en anden lokation, indenfor en tidsramme hvor jeg ikke kan nå at rejse den distance, så går Google "amok" og låser mig ude. Gør NemID også det?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize