MitID har alvorlige designfejl, der muliggør at gætte brugernavne og blokere adgang for andre

I værste tilfælde kan en hacker opnå adgang til offerets MitID.

Version2 har påvist at MitID har alvorlige designfejl, og de gættede således 11.000 gyldige MitID-brugernavne på en enkelt nat ved hjælp af en simpel kodestump.

Dette kan ske fordi systemet accepterer 200 forkerte gæt i timen, før den lukker adgangen til IP-adressen ned.

Ved at fordele angrebet over blot 2 IP-adresser, kunne de forbigå denne blokering - da mange danskere har valgt deres almindelige fornavn som MitID brugernavn, hvilket systemet ikke heller ikke blokerer for ved oprettelse.

Næste skridt var at lukke adgangen af for frivillige deltagere, ved konstant at indtaste deres korrekte brugernavn. Således kan de ramte ikke længere logge på, og deres MitId app vil konstant vise en anmodning om at swipe. Hvis de gør dette, lukker de angriberen ind.

De afviklede kodestumpen i en uge uden at blive opdaget, og kunne succesfuldt holde udvalgte brugere ude, uden at MitId's systemer lukkede dem ude.

Her på TechStart anbefaler vi KRAFTIGT, at INGEN har et MitId brugernavn der er så nemt at gætte, uanset hvor godt folk kender dig. Dvs. ingen brug af dit fornavn, efternavn, telefonnummer, adresse osv.

Kig dig omkring og find 3 tilfældige ting, og sammensæt ordene på engelsk med et tal midtimellem. Eks. "StaplerWindow953CoffeeCup".

Ja, det er mere bøvlet at huske end eks. dit vejnavn, men også langt mere sikkert. Og eftersom dit MitId er adgangen til din digitale identitet, bør sikkerheden være i top her, og stå før magelighed.

Datatilsynet, der er medejer af MitId, er i gang med at undersøge sagen. Her på redaktionen bifalder vi ikke det tidsspilde som er forbundet med "at undersøge sagen", idet der er tale om en day-zero sårbarhed, der allerede nu kan udnyttes. De burde i stedet fokusere på at ændre valideringsprocedurerne og blokeringspolitikkerne hurtigst muligt - og i dag ville stadigvæk være for sent.

Et mere avanceret script end det Version2 benyttede, ville være nemt at lave - hvor en større regnbuetabel kombineret med proxy-servere og mere intelligent håndtering af MitId-servernes callbacks, ville være ekstremt farligt.

------------------------------------------------------

MitId har generelt haft en omstridt start. 

De tekniske krav for oprettelse, hvor man skal scanne sit pas for at aktivere app'en, er der mange som enten ikke kan eller forstår at opfylde. Det betyder at de skal aktiveres manuelt ved personligt fremmøde hos borgerservice, som Digitaliseringsstyrelsen har udliciteret supportopgaven til. Dette har de i forvejen økonomisk pressede kommuner imidlertidig ikke budgetteret med, og pengene tages andre steder fra. Der er flere ugers ventetid for folk der har dette behov nu, og deadline er 31. oktober i år.

Der har været flere tekniske inkompetente fejl: Eks. gik MitId ned i april ved månedsskiftet, hvor folk skal betale regninger. Derudover har SSL-certifikatet været udløbet. 

Spørgsmålet om hvorfor vi skulle over på MitId fremfor det i forvejen velfungerende NemId, er altid blevet besvaret med at MitId er mere sikkert. Men det har så vist sig nu at være decideret løgn: MitId skal tilbage på tegnebrættet, og Digitaliseringsstyrelsen bør udsætte overgangen fra 31. oktober i år, til ubestemt tid, indtil de har magtet at løfte en af de hovedopgaver der danner grundlag for deres eksistens. 

Billede: Flavio Takemoto, FreeImages.com

Kategori: Software   Online   Andet  

Tags: mitid   sikkerhed   version2   digital identitet