Artiklen er opdateret 26/10 kl. 9.30 med oplysningen om, at det følge MitID-brokeren Criipto ikke var her, fejlen opstod.

Forvirring. Ventetid hos Borgerservice. Nedbrud og sikkerhedshuller.

Udrulningen af danskernes nye digitale id har mildest talt været bumpet.

Ifølge Fagbladet Ingeniørens it-medie Version2 opdagede og lukkede sikkerhedsfolk i efterårsferien et alvorligt sikkerhedshul i MitID. Fejlen betød, at hackere potentielt kunne blokere for adgangen til store dele af det digitale Danmark.

Problemet opstod efter en opdatering fra Nets, der driver MitID for bankerne og det offentlige. Sikkerhedsfolk hos MobilePay opdagede, at man ved at tilføje et cpr-nummer til adressen i browseren kunne sende en login-anmodning til MitID. Vel at mærke helt uden at kende brugernavnet.

Gentages den anmodning, bliver brugeren lukket ude. Det samme kunne gentages i stor skala, potentielt mod samtlige danskeres cpr-numre.

- Vi havde i fire dage MobilePay i gang med at teste det. Der gik det op for dem, at det her var en sårbarhed, og derfor slukkede vi for det igen, siger Niels Flensted-Jensen, medstifter og direktør for Criipto, til Version2.

Criipto er en af de såkaldte brokere, der formidler kontakten mellem MitID og brugerne.

Brokerne er en af de væsentligste forskelle til NemID. Hvor virksomheder og tjenesteudbydere som for eksempel online-butikker tidligere selv skulle forbinde direkte til NemID, er de nu henvist til en broker, der har ansvaret for at sikre, at det hele foregår sikkert og fleksibelt.

Den nye opdatering af MitID-systenet gav brokerne mulighed for at godkende brugere, som for eksempel en hjemmeside allerede kendte cpr-nummeret på, uden at brugerne skulle taste MitID-brugernavnet. Det kunne for eksempel være nyttigt i forbindelse med betalinger.

Eksperter er rystede

Ifølge en række eksperter, Version2 har talt med, burde sårbarheden have været fundet tidligere, især fordi det fremgår af MitID's dokumentation, hvordan man udnytter den.

- Det er fuldstændig basale fejl, og det må ikke ske i en id-løsning som MitID, siger IT-konsulent Lucas Lundgren til Version2.

Professor i it-sikkerhed på IT-Universitetet i København Carsten Schürmann forklarer, at denne og tidligere afsløringer peger på, at der kan være mere grundlæggende problemer med MitID’s design:

- Det er fuldstændig uforståeligt, hvorfor de implementerer funktionalitet, der er så åbenlyst usikker. Det tyder på, at der er problemer med deres interne krav og specifikationer, siger professoren til tech-mediet.

'Borgeren kan absolut intet gøre'

Ifølge et skriftligt svar til fra Digitaliseringsstyrelsen er den nye funktion ikke i sig selv et problem. Men, oplyser styrelsen til DR Nyheder, "beklageligvis er der sket en uhensigtsmæssig implementering hos en enkelt broker". Den er nu rettet.

Ifølge styrelsen er det op til brokerne at sikre at cpr-opslag bruges sikkert som nøgle. Derfor er de underlagt strenge sikkerhedskrav og en omfattende årlig proces for at blive godkendt.

Det fremgår ikke af svaret fra Digitaliseringsstyrelsen hvilken broker, der implementerede sårbarheden. Niels Flensted-Jensen oplyser det ikke var Criipto, men han mener at muligheden for CPR-opslag lægger et for stort ansvar over på tjenesteudbyderne, der modsat brokerne ikke er underlagt samme strenge krav.

- En tjenesteudbyder med slette intentioner, eller bare en usikker integration med MitID, kan uden gætværk eller held blokere enhver danskers MitID. Borgeren kan absolut intet gøre for at beskytte sig mod et sådan angreb.

DR har også spurgt Digitaliseringsstyrelsen hvad den vil sige til danskere, der efter den seneste tids problemer har mistet tillid til MitID.

- Man kan som borger trygt få og anvende MitID, lød svaret.