Trods misbrug: Ingen planer om at advare borgere ved hackingforsøg mod NemID

Illustration: Jesper Stein Sandal
En simpel SMS eller mail kunne have reddet ung dansker for svindel for 270.000 kroner. Men en sådan advarsel må ofre for nøglekort-angreb fortsat tænke sig til.

Efter Version2’s afsløringer blev det tydeligt, at der er en række små og store sikkerhedsbrister, der gør det for nemt at skaffe sig nye nøglekort til NemID.

Og dermed bliver hackere også i stand til at omgå den essentielle 2-faktorløsning, som en væsentlig del af sikkerheden i NemID hviler på.

Læs også: Bankerne sjusker med NemID-nøglekort: Kostede ung lærer 270.000 kroner

Det store spørgsmål er nu, hvad Digitaliseringsstyrelsen og Finans Danmark – der sammen ejer NemID – vil gøre for at sikre danskerne.

Rent teknisk set: ingenting. Alle de mindre, tekniske omstændigheder, der gjorde det muligt for hackere at stjæle 270.000 kroner fra 29-årige Ronja Larsen, agter ejerne af NemID at lade være.

Den største sårbarhed – at bankerne kan phishes til at sende nøglekort for et godt ord – vil Digitaliseringsstyrelsen løse med, hvad styrelsen i en mail til Version2 beskriver som:

»En løbende opfølgning af, om registreringsenhederne (bankerne, borgerservice red.) overholder gældende regler.«

En kontrol, der så vidt det fremgår af mailen, har været til stede længe. Men alligevel ikke har dæmmet op for problemerne i bankerne.

»Derudover har Nets DanID i dialog med Finans Danmark indskærpet over for bankerne, at de skal følge reglerne om verificering af borgerne,« oplyser styrelsen videre.

Læs også: Sjusk med NemID-nøglekort: Derfor udgør bankerne det svageste led

Digitaliseringsstyrelsen har ikke ønsket at stille op til interview om et eneste af vores mange spørgsmål, men skriver:

»Vi tager misbrug af NemID meget seriøst.«

Offeret aner ikke uråd

Som det også fremgår af faktaboksen, bliver ofre for nøglekort-svindlen ikke advaret, når der bestilles et nyt nøglekort. Det er ellers ganske almindelig procedure i it-sikkerhedsverdenen, at notificere brugere, når der sker ændringer af en brugerkonto.

Akkurat som når man informeres om, at der er blevet lavet et nyt password til en mailkonto, eller at der er sket ændringer i ens telefonabonnement.

Men for hovednøglen til det digitale Danmark kommer der ikke et kvæk, hvis nogen forsøger at gætte ens adgangskode, pludselig logger på i Uganda eller bestiller et nyt nøglekort.

Læs også: Danske Bank-kunde ringet op og bedt om CPR: Det lød som en fake henvendelse

Sådan bliver det ved med at være, fremgår det af et skriftligt svar fra Digitaliseringsstyrelsen til Version2:

»I den nuværende løsning (NemID, red.) er det kun nogle brugere, der har opgivet mobilnummer eller mailadresse, og det er ikke muligt at tjekke, at disse er opdaterede og korrekte. Der er derfor ikke et grundlag at sende notifikationer ud på,« skriver Digitaliseringsstyrelsen, der dog lover, at det nye MitID vil indeholde en sådan funktion.

Uden dog at fortælle, hvordan det er muligt for MitID, når det ikke er muligt i NemID.

Version2 har også spurgt, hvorfor man for eksempel ikke krydstjekker hos eller henter informationer fra teleselskaberne som offentlig myndighed, men det har styrelsen endnu ikke svaret på.

»Man kunne også indsamle kontaktoplysninger fra nye brugere, som man for eksempel gør, når man skal registrere sig hos Mastercard eller Visa i dag. Eller oprette en ny funktion, hvor brugere kan tilmelde sig automatiske notifikationer, når der laves ændringer for deres NemID,« siger Jacob Herbst, der er medejer af sikkerhedsselskabet Dubex.

»Så selvfølgelig kan der findes løsninger på det,« siger sikkerhedseksperten, der ikke desto mindre godt forstår, at man tøver med at igangsætte ændringer i et stort system, der skal erstattes af det nye MitID om mindre end to år.

Kundeforhold afsløres fortsat

Udover de manglende notifikationer kan man kun med kodeord og brugernavn, altså uden nøglekort, finde ud af, hvor offeret er bankkunde.

På den måde fandt hackerne ud af, hvilken bank de skulle phishe for at få tilsendt Ronja Larsens nøglekort og på den måde stjæle 270.000 kroner fra hende.

Denne mindre usikkerhed er stadig en realitet i skrivende stund. Digitaliserinsstyrelsen og Finans Danmark har ikke svaret på Version2's spørgsmål om samme.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Mogens Lysemose

Artiklen kan ikke beslutte sig for om det er hackere, svindlere, tyve eller røvere. Der kan dog næppe være tale om røveri: "Røveri er uretmæssig tilegnelse af rørlig ejendom ved hjælp af umiddelbar vold eller trusler herom. Røveri adskiller sig fra tyveri på grund af elementet af konfrontation og voldstrussel. " https://da.m.wikipedia.org/wiki/R%C3%B8veri

Men ellers godt i følger op, det er da utroligt de ikke vil gøre noget...

  • 9
  • 2
#3 Knud Larsen

Sådan simpelt tyveri, der kan imødegås, skal der gøres noget ved. Det er for ringe at bare læne sig tilbage og overlade det til forbrugerne. Der er voldsom modstrid i det forhold, at bankerne skal bruge 4.300 medarbejdere til at bekæmpe spøgelser som hvidvask medens Finanstilsynet sidder med sølle 7 medarbejdere, der ikke kan følge det op. Det er det samme med politiet. Politiet har mere travlt med at håndhæve deres eneret til retshåndhævelse end med at reelt afværge alle de mange ovegreb. I Skat har man helt tilsidesat retssikkerheden. se bare med - ejendomsbeskatningen [http://skat-uret.dk/nyheder/2013-2019-ejendomsbeskatning.aspx] - mgl. regnskabsføring og dermed snyd af borgerne - [http://skat-uret.dk/ret/2019-skats-fup-og-svindel-2-ontranet.aspx]

  • 8
  • 3
#6 Lars Røssell

Muligvis har ejerne af NemId lavet en vurdering som siger at prisen for at indføre ekstra sikkerhed ligger på 50? millioner kroner, og at det er nemmere og billigere at give bankerne ansvaret end selv at gøre noget.

Med i vurderingen var måske at der sker meget, meget få brud på datasikkerheden - hvis der altså sker så få brud? Nogen der ved hvor tit systemet bliver misbrugt?

  • 1
  • 0
#7 Lars Christensen

At Digitaliseringsstyrelsen agere som de gør, er i bedste fald en undergravning af intentionerne om bedre forståelse for god IT-sikkerheds etik, som det danske center for cybersikkerhed netop skal være fortaler for. Derfor har jeg idag rettet officiel henvendelse til Statsrevisionen.

Mvh Lars C PL Brake

  • 7
  • 0
#10 Jørgen Kanters

Ingen tvivl om at der er tale om et sikkerhedshul der bør lukkes. Og det bliver det også med MitID. Mon ikke systemet har regnet ud at det er dyrere at lukke hullet akut (og hvad med dem der ikke har opgivet (korrekt) mobilnummer). Da det i sidste ende er dig og mig der kommer til at betale er det meget godt at man vælger den billige løsning og venter. Lur mig om bankerne ikke har strammet lidt op omkring det bare lige at ringe ind og bestille nyt papkort.

Og så indeholder artiklerne forkert information. Kunden mistede ikke penge. Det gjorde banken.

  • 0
  • 7
#13 Christian Nobel

Man kan vælge et andet brugernavn til sit NEM-ID end CPR-nummeret, og bruge det til dagligt, men man kan ikke få fjernet CPR-nummer som loginmulighed.

Hvilket faktisk betyder, at hvis nogle rigtig grimme black hats fandt på at lave et koordineret angreb, så kunne stort set alle danskere blive udelukket fra at bruge deres NemID på meget kort tid.

Det er fuldstændig uacceptabelt at cpr-nummeret kan bruges som login navn.

  • 6
  • 3
#14 Gert Madsen

Mon ikke systemet har regnet ud at det er dyrere at lukke hullet akut (og hvad med dem der ikke har opgivet (korrekt) mobilnummer).

Her skal man være opmærksom på at i den beregning indgår de penge, som bankerne risikerer. Hvad en borger måtte have af besvær og omkostninger med ejendomshandel, skilmisse, skat og alt det andet, som NemID kan bruges til, det indgår ikke i beregningen. Det er bankerne uvedkommende, og som skrevet ovenfor, så indgår der ikke nogen form for ansvar hos de myndigheder, som tvinger NemID ned i halsen på folk.

  • 9
  • 0
#15 Christian Nobel

Og det bliver det også med MitID

Mod der så til gengæld introduceres nogle nye fatale sikkerhedshuller.

Kunden mistede ikke penge. Det gjorde banken.

Så søvnløse nætter, og måske en blokeret økonomi i en periode, samt en allerhulens masse diskussion for at få stadfæstet sin uskyld værdisættes til kr 0 - for borgerne er jo til for systemet, og deres tid er gratis.

  • 13
  • 1
#16 Hans Nielsen

Hackere, røvere, tyveknægte eller svindlere?

Nærmere "ran".

Overholdese af sikkerhed ser ud til at være så lempeligt, så det stort svare til tage kontanter som ligger i den åben vindus kam

Men overordet et samfundsproblem, når vi ser det samme med SIM kort.

Måske det vil hjælpe. hvis nogle på et tidspunt stjæler samlige folketingsmedlemser nem id, og telenfon nummer.

Også overtager hele deres digitale liv og økonomi, samt lægger det ud til offenlig skue, når deres konti er tømt, og de har lagt børneporno op på deres facebook profil.

Men det eneste som der kommer ud af det, er desvære nok en yderligere unytigt milliard til CFCS.

OBS: Det var ikke mening at vidergive denne idee til CFCS, selv om de nu har indkøb manskab til denne del.

  • 1
  • 1
#21 Kristian Lund

Man kan vælge et andet brugernavn til sit NEM-ID end CPR-nummeret, og bruge det til dagligt, men man kan ikke få fjernet CPR-nummer som loginmulighed.

Det er ikke korrekt. Man kan slå CPR-som-brugerid fra, det er bare en separat funktion fra, om man har opgivet et alternativ. Til gengæld kan man ikke slå NemID-nummeret fra, som derfor står i samme situation som CPR-nummeret stadgi (!) gør: at nummeret egentlig burde være hemmeligt, men forholdsvis nemt kan oplyses og ikke særlig nemt ændres.

Hvad sker der hvis du fejlagtigt prøver at logge på 5 gange med CPR nummer?

Det tæller som login-forsøg, og spærrer adgangskoden.

  • 2
  • 0
Log ind eller Opret konto for at kommentere