TechStart forside
Nyheder indenfor IT og teknologi
Annullér [x]




Log på  Bliv medlem   Om TechStart
Fredag, 2. december, 2022
Forside   »   Software   Online   Andet   »   MitID har alvorlige designfejl, der muliggør at gætte brugernavne og blokere adgang for andre

MitID har alvorlige designfejl, der muliggør at gætte brugernavne og blokere adgang for andre


I værste tilfælde kan en hacker opnå adgang til offerets MitID.


  |   via version2.dk   |   Redaktør: jakobdam   |   Indsendt af: jakobdam

Version2 har påvist at MitID har alvorlige designfejl, og de gættede således 11.000 gyldige MitID-brugernavne på en enkelt nat ved hjælp af en simpel kodestump.

Dette kan ske fordi systemet accepterer 200 forkerte gæt i timen, før den lukker adgangen til IP-adressen ned.

Ved at fordele angrebet over blot 2 IP-adresser, kunne de forbigå denne blokering - da mange danskere har valgt deres almindelige fornavn som MitID brugernavn, hvilket systemet ikke heller ikke blokerer for ved oprettelse.

Næste skridt var at lukke adgangen af for frivillige deltagere, ved konstant at indtaste deres korrekte brugernavn. Således kan de ramte ikke længere logge på, og deres MitId app vil konstant vise en anmodning om at swipe. Hvis de gør dette, lukker de angriberen ind.

De afviklede kodestumpen i en uge uden at blive opdaget, og kunne succesfuldt holde udvalgte brugere ude, uden at MitId's systemer lukkede dem ude.

Her på TechStart anbefaler vi KRAFTIGT, at INGEN har et MitId brugernavn der er så nemt at gætte, uanset hvor godt folk kender dig. Dvs. ingen brug af dit fornavn, efternavn, telefonnummer, adresse osv.

Kig dig omkring og find 3 tilfældige ting, og sammensæt ordene på engelsk med et tal midtimellem. Eks. "StaplerWindow953CoffeeCup".

Ja, det er mere bøvlet at huske end eks. dit vejnavn, men også langt mere sikkert. Og eftersom dit MitId er adgangen til din digitale identitet, bør sikkerheden være i top her, og stå før magelighed.

Datatilsynet, der er medejer af MitId, er i gang med at undersøge sagen. Her på redaktionen bifalder vi ikke det tidsspilde som er forbundet med "at undersøge sagen", idet der er tale om en day-zero sårbarhed, der allerede nu kan udnyttes. De burde i stedet fokusere på at ændre valideringsprocedurerne og blokeringspolitikkerne hurtigst muligt - og i dag ville stadigvæk være for sent.

Et mere avanceret script end det Version2 benyttede, ville være nemt at lave - hvor en større regnbuetabel kombineret med proxy-servere og mere intelligent håndtering af MitId-servernes callbacks, ville være ekstremt farligt.

 

------------------------------------------------------

 

MitId har generelt haft en omstridt start. 

De tekniske krav for oprettelse, hvor man skal scanne sit pas for at aktivere app'en, er der mange som enten ikke kan eller forstår at opfylde. Det betyder at de skal aktiveres manuelt ved personligt fremmøde hos borgerservice, som Digitaliseringsstyrelsen har udliciteret supportopgaven til. Dette har de i forvejen økonomisk pressede kommuner imidlertidig ikke budgetteret med, og pengene tages andre steder fra. Der er flere ugers ventetid for folk der har dette behov nu, og deadline er 31. oktober i år.

Der har været flere tekniske inkompetente fejl: Eks. gik MitId ned i april ved månedsskiftet, hvor folk skal betale regninger. Derudover har SSL-certifikatet været udløbet. 

Spørgsmålet om hvorfor vi skulle over på MitId fremfor det i forvejen velfungerende NemId, er altid blevet besvaret med at MitId er mere sikkert. Men det har så vist sig nu at være decideret løgn: MitId skal tilbage på tegnebrættet, og Digitaliseringsstyrelsen bør udsætte overgangen fra 31. oktober i år, til ubestemt tid, indtil de har magtet at løfte en af de hovedopgaver der danner grundlag for deres eksistens. 

MitID har alvorlige designfejl, der muliggør at gætte brugernavne og blokere adgang for andre

Billede: Flavio Takemoto, FreeImages.com


Kategori: Software   Online   Andet  


Tags: mitid   sikkerhed   version2   digital identitet  





Kommentarer: 0
Visninger: 744
Gå til kilde
Foreslå rettelser

Du skal være logget på for at kommentere.



Log på via "log på"-linket i toppen eller bliv medlem.



Relaterede nyheder:

  Alle nyheder i samme kategori Alle nyheder på TechStart

Torsdag, 10/11, kl. 09:49
Sponsoreret: Behold garantien på din elbil

Læs mere...

Onsdag, 02/11, kl. 09:00
LEGO stopper udviklingen af Mindstorm

Læs mere...

Fredag, 28/10, kl. 10:22
Tips: Bliv en bedre B2B-sælger

Læs mere...

Fredag, 21/10, kl. 13:38
Sponsoreret: Tips: Få et godt system til flyplanlægning

Læs mere...

Tirsdag, 11/10, kl. 10:57
FBI advarer mod falske lavkvalitetsbatterier

Læs mere...

^ Gå til top

 
Indsend nyhed »  
Seneste kommentarer i:
Hvad er dette?


Søges: Gammelt 486 bundkort til projekt.


Skærm / Skærmelement til Dell Vostro 3550 15.6"


Pas på: Dansk firma snyder Netflix-kunder


Min seneste besættelse...


VR-ready computer - er I klar? :)


AVG pinger ud af Techstart (hacked?)


Jeg er ham...


Apple Pay og Danmark?


TechStart har givet sit bud på årets bedste smartphone


10 dage siden sidste nyhed


Skype sound recorder


Gamle computere.


Engelsk pund nede med 10% - billigt elektronik :)


Standalone mikrofon.


Lexar introducerer 3 nye ultrakompa


SanDisk lancerer microSD-kort med 1


Pokémon Go spillere kan langt om læ


Alternativet, S og SF ønsker pant p


LG lancerer ny 31,5 tommer skærm me


Alienware udgiver tynd og letvægts


Nintendo udgiver nye trådløse retro


Sony lancerer PlayStation Classic


8K er på vej: 33 MPixels fjernsyn


JVC udgiver mere prisvenlig 4K DLP-


Sponsoreret artikel: Snabel a


Officiel Tor browser udkommer til A


Nintendo lancerer online service fo


Western Digital lancerer nye SSDer


ASUS Mixed Reality Headset kommer s