Efter sårbarheds-afsløringer: Digitaliseringsstyrelsen ændrer koden i MitID

13. januar kl. 05:162
mitid
Illustration: Lea Woer.
I efteråret kunne DigiTechs søstermedie Version2 afsløre en sårbarhed i MitiD, der gjorde det muligt at blokere tusinder af brugeres adgang med få midler. Udadtil fastholdt myndighederne, at sikkerheden var tip top, men nu afslører interne dokumenter, at man indadtil råbte vagt i gevær og ændrede koden i den centrale it-løsning.

Denne artikel er oprindeligt bragt på Version2, og du har adgang til den som abonnent på DigiTech.

Danmarks digitale universalnøgle, MitID, modtog tilbage i september 2022 en sikkerhedsopdatering, efter Version2 med hjælp fra et simpelt script kunne gætte tusindvis af brugernavne og efterfølgende blokere deres adgang til den vigtige tjeneste. Det fremgår af en aktindsigt, Version2 har fået i sagen. 

Få fuld adgang til DigiTech

DigiTech er til professionelle, der arbejder med offentlig digitalisering og it-projekter.

Få 3 uger gratis prøve abonnement til DigiTech. Betalingskort er ikke påkrævet, og du vil ikke blive flyttet til et betalt abonnement efterfølgende.

Du kan også få tilsendt et tilbud til dig.

Abonnementsfordele
vpn_key
Fuld adgang til DigiTech
Alt indhold på DigiTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
2 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
13. januar kl. 11:58

Som jeg forstår artiklen handler det om, at version2 har gættet et stort antal brugerID og efterfølgende blokeret dem, formentlig ved at forsøge at gætte deres password. I omtaler sagen som "Sårbarhedsafsløringer", men den viser vel at sikkerheden er i orden. BrugerID skal jo blokeres, hvis nogen forsøger at misbruge det. Omvendt skal en bruger have mulighed for at taste forkert nogle gange uden at blive blokeret. Dybest set handler det om, hvordan man skelner mellem en fummelfingret bruger og en kriminel. Jeg er sikker på at Digst gerne tager mod gode forslag til, hvordan man gør det fornuftigt.

2
13. januar kl. 14:44

Udfordringen er netop at der ikke skal bruges et password for at starte et login i brugerens MitId app (givet at de anvener app). De er derfor ikke låst ude på grund af forkert kodeord men fordi deres app konstant anmoder om at de lukker den uvedkomne ind (så de kan ikke selv starte et nyt login forsøg).

Og endnu værre: Hvis ikke brugeren er opmærksom tror de måske at den loginanmodning som er i appen er deres egen og godkender den derfor, hvilket lukker en anden ind.