Sikkerhedseksperter forundrede: MitID står åbent for sabotage

6. oktober 2022 kl. 16:308
MitID Hack
Som offer for det angreb, Version2 har demonstreret, vil man ikke vide, hvad der sker, men blot blive mødt med den ene fejlmeddelelse efter den anden. Offeret kan ikke logge ind, men tjekker man appen ligger der altid en anmodningen fra angriberen og lurer. Den skal man ikke swipe til højre, for så lukkes angriberen ind. Illustration: Nanna Skytte / Ingeniøren.
Et samspil mellem flere ­designvalg gør MitID sårbart over for blokeringsangreb. Digitaliserings­styrelsen forsvarer løsningen men har sovet i timen, lyder det fra flere eksperter. Datatilsynet vil nu undersøge sagen.
Artiklen er ældre end 30 dage

Om blot en måned skal alle danskere have oprettet sig med MitID, der fremover skal tjene som den primære digitale underskrift i Danmark. Men i brugervenlighedens navn har man slækket på it-sikkerheden og designet Danmarks digitale flagskib, så det er sårbart over for angreb fra fremmede stater og andre, der vil lukke ned for MitID i større skala.

Læs hele artiklen

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder.

Få 3 ugers gratis prøveabonnement. Betalingskort er ikke påkrævet, og du bliver ikke flyttet til et betalt abonnement efterfølgende.

Du kan også få tilsendt et tilbud til dig.

Abonnementsfordele
vpn_key
Fuld adgang til ComplianceTech
Alt indhold på ComplianceTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
8 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
30. september 2022 kl. 22:35

Man må (?) gå ud fra, at Version2 har informeret Datatilsynet om metoden i kodeform.

6
30. september 2022 kl. 15:20

Vi mangler så vist kun to udtalelser.

  1. En politiker der siger, at det ikke er noget reelt problem, da det kræver, at man foretager sig noget kriminelt.
  2. En politiker der siger, at Version2 har gavnet fjenden ved at give ideer til at lave store ulykker.
2
30. september 2022 kl. 09:00

Det viser en ufatteligt mangel på kompetencer og almindelig IT sikkerhed hos ledelsen i Nets. Tilsynet bliver nødt til at stille meget høje sikkerheds krav til offentlige systemer som MitId. Hvordan har de testet sikkerheden? Det er nok de samme udviklere som har designet systemet - hvis det var et ubetydeligt system var det bare komisk, men i dette tilfælde er det en sikkerhedsmæssig katastrofe der skal standses af myndighederne nu!

4
30. september 2022 kl. 10:56

Det viser en ufatteligt mangel på kompetencer og almindelig IT sikkerhed hos ledelsen i Nets.

Jeg tror ikke det er hos Nets det grundlæggende problem er. Det er nok nærmere DIGSTs manglende evner og fantasi til at opstille realistiske scenarier.

5
30. september 2022 kl. 13:20

I min optik er det både Nets og DIGST der har leveret et uacceptabelt ringe produkt. Kravene til sikkerheden bag systemet har tydeligvis været alt for ringe eller for ringe formuleret. Dette er DIGST opgave. Men at Nets så implementerer et så vigtigt system uden selv at gøre opmærksom på eller selv sørge for en passende høj sikkerhed der bør være til stede i et så væsentligt samfundskritisk system. Det er kritisabelt. At ligge hele skylden over på DIGST er ikke korrekt, den ligger begge steder, desværre.

1
30. september 2022 kl. 08:06

Hvordan kan et så vitalt system nå at blive rullet helt ud, inden nogen opdager dette? Er der ingen uafhængige kontrolforanstaltninger/stopklodser under vejs?

Mon det er derfor, Nets har så travlt med at få solgt MitId?

3
30. september 2022 kl. 09:23

Der har da ellers været skrevet om det tidligere også i pressen (mener det var Ingeniøren der havde noget faktisk?).

Der har i hvert fald været nok om det til at jeg fra start af udelukkende bestilte en kodeviser, da man så kan "gennemtvinge" reel 2FA og få et kodeord også.