mboost-dp1

Digitaliseringsstyrelsen

Alvorligt sikkerhedshul i MitID lukket

- Via DR -

En opdatering betød, at hackere kunne lukke enhver ude fra MitID, hvis de kendte cpr-nummeret, men nu kan du trygt bruge MitID igen, oplyser DR.

Ifølge Version2 opdagede og lukkede sikkerhedsfolk i efterårsferien et alvorligt sikkerhedshul i MitID. Fejlen betød, at hackere potentielt kunne blokere for adgangen til store dele af det digitale Danmark.

Problemet opstod efter en opdatering fra Nets, der driver MitID for bankerne og det offentlige. Sikkerhedsfolk hos MobilePay opdagede, at man ved at tilføje et cpr-nummer til adressen i browseren kunne sende en login-anmodning til MitID. Vel at mærke helt uden at kende brugernavnet. Gentages den anmodning, bliver brugeren lukket ude. Det samme kunne gentages i stor skala, potentielt mod samtlige danskeres cpr-numre.

“Vi havde i fire dage MobilePay i gang med at teste det. Der gik det op for dem, at det her var en sårbarhed, og derfor slukkede vi for det igen,” sagde Niels Flensted-Jensen, medstifter og direktør for Criipto, til Version2. Criipto er en af de såkaldte brokere, der formidler kontakten mellem MitID og brugerne.

“Det er fuldstændig uforståeligt, hvorfor de implementerer funktionalitet, der er så åbenlyst usikker. Det tyder på, at der er problemer med deres interne krav og specifikationer,” sagde professor i it-sikkerhed på IT-Universitetet i København Carsten Schürmann til Version2.





Gå til bund
Gravatar #1 - FeedMe
27. okt. 2022 10:23
"nu kan du trygt bruge MitID igen, oplyser DR."

vs.

“Det er fuldstændig uforståeligt, hvorfor de implementerer funktionalitet, der er så åbenlyst usikker. Det tyder på, at der er problemer med deres interne krav og specifikationer,”

Men faktisk er det ligemeget. For jeg har ikke valget at undlade at bruge det her digitale lortekattemad, som staten har købt til mig.

Medmindre jeg udelukker mig selv fra samfundet - og så kunne de jo lige så godt have ladet hullet stå åbent - og ladet en hacker gøre det for mig i stedet...
Gravatar #2 - T_A
27. okt. 2022 11:19
Man har da hele tiden "trygt" kunne bruge MitID men det gav bare hackere mulighed for at spam låse din konto via CPR numre.
Tænker man har kunne gøre det heletiden med NemID da det jo her også var muligt at logge på med CPR nummer som brugernavn.
Gravatar #3 - lsv20
28. okt. 2022 10:53
Nu krævede NemID jo faktisk et kodeord før der overhovedet blev sendt et request til mobil applikationen / java indtastnings feltet.

Forskellen er jo at MitID bare kræver brugernavn, også vil det request blive sendt.

Så hvor mange har deres CPR nummer (som de jo lærte man brugte med NemID) egentlig som brugernavn. Man burde nok fra MitID have bestemt at der burde have været bare ét enkelt bogstav i ens brugernavn, så var man faktisk ret hurtigt udeover at det var CPR nummeret der blev brugt som brugernavn.

Selvfølgelig har ovenstående intet at gøre med at man bare kunne indtaste `mitid.dk/?test=<cpr nummer>` - det er fandme bare dumt
Gravatar #4 - Chucara
28. okt. 2022 22:30
#3: Jeg tænker ikke rigtigt der er så svært med NemID at gætte et forkert kodeord ;)

Så lur mig om ikke også man kunne smide en begrænset mængde mennesker midlertidigt ude af NemID ved blot at kende deres CPR.

Men jeg håber da at der er en IP blokering på gentage forsøg på flere konti.
Gravatar #5 - Guruman
31. okt. 2022 08:58
#3, da jeg oprettede MitID stod der at man ikke kunne bruge sit cpr-nr som brugernavn, så lige der var de dog fornuftige nok.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login