NemID - nu med enorm sikkerhedsbrist

En simpel tastefejl kan give fremmede personer fri adgang personlige oplysninger

Den digitale signaturs efterfølger åbner døren op for personfølsomme oplysninger. (Foto: Lars Skaaning)
Den digitale signaturs efterfølger åbner døren op for personfølsomme oplysninger. (Foto: Lars Skaaning)

NemID-systemet indeholder en katastrofal sikkerhedsbrist.

Blot en banal tastefejl kan give adgang til personfølsomme oplysninger som løn- og skatteforhold, cpr-numre på familien og ikke mindst muligheden for at ændre dit navn.

Denne sikkerhedsbrist kan med andre ord give fremmede med forkerte hensigter helt og aldeles fri adgang til dit privatliv. Det kan Politiken i dag afsløre.

Fejlen i systemet findes på hjemmesiden nemid.dk, der ikke er den officielle adgang til det officielle Danmarks nye digitale signatur. På nemid.dk finder brugeren dog logoet for det officielle Danmarks indgang til nettet - Borger.dk. Og du kan tilmed logge dig på systemet med NemID-kode og nøglekort.

Troværdigheden bliver yderligere styrket ved, at Økonomistyrelsen navn optræder ved siden af sikkerhedslåsen i internetadressen.

Katastrofen opstår i samme øjeblik du logger dig på NemID - på .dk-siden i stedet for den officielle side. Her risikerer du nemlig at åbne et hul så stort ind til dine personlige oplysninger.

Efter log in, ender du på en side, hvorfra du har mulighed for at sende krypteret post til 161 offentlige emailadresser. Deriblandt 70 danske kommuner.

Herefter bliver det ikke muligt for dig at logge ud igen.

Det vil sige, at den næste bruger på computeren for eksempel på et bibliotek, netcafe eller arbejdsplads, har fri adgang til at se dine oplysninger som lønforhold, medicinforbrug og familiens cpr-numre.

Hvis brugeren efter dig har onde hensigter, kan personen altså ændre dit og dine børns navne eller eksempelvis fravælge din SU. Den uhensigtsmæssige adgang kan ske ved blot at taste borger.dk i adressefeltet i samme browser-vindue. Systemet kræver tilsyneladende ikke, at du logger på NemID en gang til. Den enkelte computer husker dig.

- Det er helt håbløst - det er en OM'er. Det er besynderligt, at den slags ting ikke er blevet clearet af, inden man sætter et stort offentligt system som NemID i gang«, siger regionsdirektør Michael Dahl fra sikkerhedsfirmaet F-Secure til Politiken.

F-Secure har sidenhen testet systemet og konkluderet, at der er et gabende stort hul i hele NemID-systemet.

Virksomheden DanID, som administrerer NemID oplyser, at de har kendt til problemet siden før sommerferien.

-Vi burde nok have advaret brugerne mod at gå ind på www.nemid.dk«, siger Michael Juul Rugaard fra DanID til Politiken.

- Men det vil vi gøre nu.

I IT- og Telestyrelsen fortæller leder af Center for Digitalisering, Palle H. Sørensen, at styrelsen havde en berittiget forventning om, at man kunne have stoppet problemet noget før, men at det ikke er lykkedes.

Efter Politikens henvendelse til nemid.dk blev hullet lukket sent mandag aften.

IT- og Telestyrelsen opfordrer nu til, at man altid lukker browseren er helt ned, når man forlader en hjemmeside, man har besøgt med sin NemID. Det skriver Politiken.



0 kommentarer
Vis kommentarer

Skærm

Hent flere
Hent flere