Sikkerhedseksperter forundrede: MitID står åbent for sabotage

Plus30. september kl. 04:008
MitID Hack
Som offer for det angreb, Version2 har demonstreret, vil man ikke vide, hvad der sker, men blot blive mødt med den ene fejlmeddelelse efter den anden. Offeret kan ikke logge ind, men tjekker man appen ligger der altid en anmodningen fra angriberen og lurer. Den skal man ikke swipe til højre, for så lukkes angriberen ind. Illustration: Nanna Skytte / Ingeniøren.
Et samspil mellem flere ­designvalg gør MitID sårbart over for blokeringsangreb. Digitaliserings­styrelsen forsvarer løsningen men har sovet i timen, lyder det fra flere eksperter. Datatilsynet vil nu undersøge sagen.
Artiklen er ældre end 30 dage

Om blot en måned skal alle danskere have oprettet sig med MitID, der fremover skal tjene som den primære digitale underskrift i Danmark. Men i brugervenlighedens navn har man slækket på it-sikkerheden og designet Danmarks digitale flagskib, så det er sårbart over for angreb fra fremmede stater og andre, der vil lukke ned for MitID i større skala.

Gratis adgang i 30 dage
Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Version2 og Ingeniøren, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement.
remove_circle
remove_circle
Har du allerede et PLUS-abonnement eller klip? Log ind east
Tak !
Vi har sendt en kvitteringsmail til .
Du bliver viderestillet til artiklen om få sekunder.
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Version2 og Ingeniøren
Fuld digital adgang til PLUS-indhold på Version2 og Ingeniøren, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
8 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
30. september kl. 22:35

Man må (?) gå ud fra, at Version2 har informeret Datatilsynet om metoden i kodeform.

6
30. september kl. 15:20

Vi mangler så vist kun to udtalelser.

  1. En politiker der siger, at det ikke er noget reelt problem, da det kræver, at man foretager sig noget kriminelt.
  2. En politiker der siger, at Version2 har gavnet fjenden ved at give ideer til at lave store ulykker.
8
1. oktober kl. 16:49
  1. Endnu en nedskæring hos datatilsynet, der er for meget kvalm med dem
2
30. september kl. 09:00

Det viser en ufatteligt mangel på kompetencer og almindelig IT sikkerhed hos ledelsen i Nets. Tilsynet bliver nødt til at stille meget høje sikkerheds krav til offentlige systemer som MitId. Hvordan har de testet sikkerheden? Det er nok de samme udviklere som har designet systemet - hvis det var et ubetydeligt system var det bare komisk, men i dette tilfælde er det en sikkerhedsmæssig katastrofe der skal standses af myndighederne nu!

4
30. september kl. 10:56

Det viser en ufatteligt mangel på kompetencer og almindelig IT sikkerhed hos ledelsen i Nets.

Jeg tror ikke det er hos Nets det grundlæggende problem er. Det er nok nærmere DIGSTs manglende evner og fantasi til at opstille realistiske scenarier.

5
30. september kl. 13:20

I min optik er det både Nets og DIGST der har leveret et uacceptabelt ringe produkt. Kravene til sikkerheden bag systemet har tydeligvis været alt for ringe eller for ringe formuleret. Dette er DIGST opgave. Men at Nets så implementerer et så vigtigt system uden selv at gøre opmærksom på eller selv sørge for en passende høj sikkerhed der bør være til stede i et så væsentligt samfundskritisk system. Det er kritisabelt. At ligge hele skylden over på DIGST er ikke korrekt, den ligger begge steder, desværre.

1
30. september kl. 08:06

Hvordan kan et så vitalt system nå at blive rullet helt ud, inden nogen opdager dette? Er der ingen uafhængige kontrolforanstaltninger/stopklodser under vejs?

Mon det er derfor, Nets har så travlt med at få solgt MitId?

3
30. september kl. 09:23

Der har da ellers været skrevet om det tidligere også i pressen (mener det var Ingeniøren der havde noget faktisk?).

Der har i hvert fald været nok om det til at jeg fra start af udelukkende bestilte en kodeviser, da man så kan "gennemtvinge" reel 2FA og få et kodeord også.