Simpelt hack kan blokere MitID

Ifølge Ingeniøren og flere eksperter kan MitID hackes med trick, som it-studerende lærer i »de første uger«.

Ifølge fagbladet Ingeniøren kan MitID hackes med et simpelt trick, som en professor i it-sikkerhed siger, at hans studernede lærer i de første to-tre uger på hans kurser. (Arkivfoto). Liselotte Sabroe/Ritzau Scanpix Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Det står grelt til med sikkerheden i MitID, login-systemet, der 22. september blev den primære måde at logge ind på en række sider som Skat.dk, Borger.dk og Sundhed.dk.

Det skriver fagbladet Ingeniøren, hvis medie Version 2 har foretaget en undersøgelse af it-sikkerheden. Version 2 skriver, at det med en simpel stump kode formåede at gætte 11.000 brugernavne på en enkelt nat.

Mediet har talt med blandt andre Carsten Schürmann, som er professor i it-sikkerhed på IT-Universitetet i København.

Han kalder hackertricket for »utrolig simpel kode«.

»Mine studerende lærer denne form for angreb i løbet af de første to-tre uger på mine kurser,« siger Schürmann til Ingeniøren.

Også Jan Kaastrup, som er partner i it-sikkerhedsfirmaet CSIS, udtrykker forundring over, hvor nemt det er at angribe systemet.

»Hold da kæft. Jeg vidste godt, at det kunne lade sig gøre, men ikke hvor nemt det var. Jeg synes virkelig, MitID har fejlet, og jeg synes, jeres undersøgelse viser det til UG med kryds og slange,« siger han til Ingeniøren.

Jan Kaastrup har desuden siddet i Europols it-sikkerhedsorgan, European Cybercrime Centre.

Ifølge Ingeniørens undersøgelse indeholder MitID flere alvorlige designfejl, der gør det muligt både at gætte titusindvis af danskeres brugernavne og at lukke de mange brugere ude fra systemet i dagevis.

I visse tilfælde kan designet betyde, at hackere kan logge ind i ofrenes MitID.

Digitaliseringsstyrelsen, der er medejer af MitID, har over for Ingeniøren ikke ønsket at forholde sig til de konkrete fund i undersøgelsen, men forsikrer om, at der er sat værn op mod denne slags angreb på vores digitale signatur i Danmark.

Tilsynet vil nu undersøge sagen, oplyser det til fagbladet.

/ritzau/