Trods misbrug: Ingen planer om at advare borgere ved hackingforsøg mod NemID
Efter Version2’s afsløringer blev det tydeligt, at der er en række små og store sikkerhedsbrister, der gør det for nemt at skaffe sig nye nøglekort til NemID.
Her er de sårbarheder i NemID-strukturen, Version2 har påvist: For det første anbefaler Digitaliseringsstyrelsen stadig borgere uden smartphone eller pc at tilgå NemID på biblioteker. Det er dybt usikkert, idet alle har adgang til computerne og kan sætte kompromitterende hardware i enhederne. For eksempel keyloggers. Dernæst kan man finde ud af, hvilken bank enhver dansker har, hvis man har brugernavn og kodeord til NemID. Man behøver ikke nøglekortet, og dette er også en mindre sikkerhedsbrist. Derefter kan man ringe til den pågældende bank, oplyse offerets CPR (brugernavn til NemID) og, som Version2 kunne i 4 af 6 banker, få sendt et nyt nøglekort af sted til offerets adresse. Sidst, men absolut ikke mindst advares offeret ikke, når der bestilles et nyt nøglekort. Derfor kan hackeren i ro og mag pille nøglekortet ud af postkassen, der ofte er ringe sikret. (Version2 dirkede egen postkasse op på 30 sekunder.) Uden at offeret ved, der mangler et nøglekort i postkassen.Flere åbne sårbarheder i NemID
Og dermed bliver hackere også i stand til at omgå den essentielle 2-faktorløsning, som en væsentlig del af sikkerheden i NemID hviler på.
Det store spørgsmål er nu, hvad Digitaliseringsstyrelsen og Finans Danmark – der sammen ejer NemID – vil gøre for at sikre danskerne.
Rent teknisk set: ingenting. Alle de mindre, tekniske omstændigheder, der gjorde det muligt for hackere at stjæle 270.000 kroner fra 29-årige Ronja Larsen, agter ejerne af NemID at lade være.
Den største sårbarhed – at bankerne kan phishes til at sende nøglekort for et godt ord – vil Digitaliseringsstyrelsen løse med, hvad styrelsen i en mail til Version2 beskriver som:
»En løbende opfølgning af, om registreringsenhederne (bankerne, borgerservice red.) overholder gældende regler.«
En kontrol, der så vidt det fremgår af mailen, har været til stede længe. Men alligevel ikke har dæmmet op for problemerne i bankerne.
»Derudover har Nets DanID i dialog med Finans Danmark indskærpet over for bankerne, at de skal følge reglerne om verificering af borgerne,« oplyser styrelsen videre.
Digitaliseringsstyrelsen har ikke ønsket at stille op til interview om et eneste af vores mange spørgsmål, men skriver:
»Vi tager misbrug af NemID meget seriøst.«
Offeret aner ikke uråd
Som det også fremgår af faktaboksen, bliver ofre for nøglekort-svindlen ikke advaret, når der bestilles et nyt nøglekort. Det er ellers ganske almindelig procedure i it-sikkerhedsverdenen, at notificere brugere, når der sker ændringer af en brugerkonto.
Akkurat som når man informeres om, at der er blevet lavet et nyt password til en mailkonto, eller at der er sket ændringer i ens telefonabonnement.
Men for hovednøglen til det digitale Danmark kommer der ikke et kvæk, hvis nogen forsøger at gætte ens adgangskode, pludselig logger på i Uganda eller bestiller et nyt nøglekort.
Sådan bliver det ved med at være, fremgår det af et skriftligt svar fra Digitaliseringsstyrelsen til Version2:
»I den nuværende løsning (NemID, red.) er det kun nogle brugere, der har opgivet mobilnummer eller mailadresse, og det er ikke muligt at tjekke, at disse er opdaterede og korrekte. Der er derfor ikke et grundlag at sende notifikationer ud på,« skriver Digitaliseringsstyrelsen, der dog lover, at det nye MitID vil indeholde en sådan funktion.
Uden dog at fortælle, hvordan det er muligt for MitID, når det ikke er muligt i NemID.
Version2 har også spurgt, hvorfor man for eksempel ikke krydstjekker hos eller henter informationer fra teleselskaberne som offentlig myndighed, men det har styrelsen endnu ikke svaret på.
»Man kunne også indsamle kontaktoplysninger fra nye brugere, som man for eksempel gør, når man skal registrere sig hos Mastercard eller Visa i dag. Eller oprette en ny funktion, hvor brugere kan tilmelde sig automatiske notifikationer, når der laves ændringer for deres NemID,« siger Jacob Herbst, der er medejer af sikkerhedsselskabet Dubex.
»Så selvfølgelig kan der findes løsninger på det,« siger sikkerhedseksperten, der ikke desto mindre godt forstår, at man tøver med at igangsætte ændringer i et stort system, der skal erstattes af det nye MitID om mindre end to år.
Kundeforhold afsløres fortsat
Udover de manglende notifikationer kan man kun med kodeord og brugernavn, altså uden nøglekort, finde ud af, hvor offeret er bankkunde.
På den måde fandt hackerne ud af, hvilken bank de skulle phishe for at få tilsendt Ronja Larsens nøglekort og på den måde stjæle 270.000 kroner fra hende.
Denne mindre usikkerhed er stadig en realitet i skrivende stund. Digitaliserinsstyrelsen og Finans Danmark har ikke svaret på Version2's spørgsmål om samme.
