31. oktober 2022 skal man være overgået til MitID, hvis man vil bruge bankernes selvbetjeningsløsninger. Foto: Jakob Eskildsen

Pas på: Stort hul i MitID

Ifølge Ingeniøren og flere eksperter kan MitID hackes med trick, som it-studerende lærer i "de første uger".

Senest opdateret: mandag 10. oktober 2022

Det står grelt til med sikkerheden i MitID, login-systemet, der 22. september blev den primære måde at logge ind på en række sider som Skat.dk, Borger.dk og Sundhed.dk.

Det skriver fagbladet Ingeniøren, hvis medie Version2 har foretaget en undersøgelse af it-sikkerheden. Version2 skriver, at det med en simpel stump kode formåede at gætte 11.000 brugernavne på en enkelt nat.

Mediet har talt med blandt andre Carsten Schürmann, som er professor i it-sikkerhed på IT-Universitetet i København.

Han kalder hackertricket for “utrolig simpel kode”.

“Mine studerende lærer denne form for angreb i løbet af de første to-tre uger på mine kurser,” siger Schürmann til Ingeniøren.

Stor forundring

Også Jan Kaastrup, som er partner i it-sikkerhedsfirmaet CSIS, udtrykker forundring over, hvor nemt det er at angribe systemet.

“Hold da kæft. Jeg vidste godt, at det kunne lade sig gøre, men ikke hvor nemt det var. Jeg synes virkelig, MitID har fejlet, og jeg synes, jeres undersøgelse viser det til UG med kryds og slange,” siger han til Ingeniøren.

Jan Kaastrup har desuden siddet i Europols it-sikkerhedsorgan, European Cybercrime Centre.

Nemt at hacke

Ifølge Ingeniørens undersøgelse indeholder MitID flere alvorlige designfejl, der gør det muligt både at gætte titusindvis af danskeres brugernavne og at lukke de mange brugere ude fra systemet i dagevis.

I visse tilfælde kan designet betyde, at hackere kan logge ind i ofrenes MitID.

Digitaliseringsstyrelsen, der er medejer af MitID, har over for Ingeniøren ikke ønsket at forholde sig til de konkrete fund i undersøgelsen, men forsikrer om, at der er sat værn op mod denne slags angreb på vores digitale signatur i Danmark.

Tilsynet vil nu undersøge sagen, oplyser det til fagbladet.

 

Er dit brugernavn for let at gætte?

Det er vigtigt, at du vælger et brugernavn, som er svært at gætte.

Det sikkerhedshul, som er beskrevet i artiklen handler om, at et it-program kunne gætte sig til en masse brugernavne, fordi de var for forudsigelige.

Hvis du tænker, at dit brugernavn er for nemt at gætte, kan du ændre det her

Først publiceret: fredag 30. september 2022
Artiklen er sidst opdateret mandag 10. oktober 2022 kl. 11:20

Se, hvad vi ellers skriver om:

og