Cover-billede: Hul i MitID

Hvorfor tvinges danskerne til ekstremt usikkert MitID-login?

Skrevet 20. juni 2023 af Søren Kristensen (opdateret 30. juni 2023)

I september 2022 kom det frem at uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID. Digitaliseringsstyrelsen, som står bag MitID, benægtede dette, trods soleklare beviser for det som var sket. Styrelsen gjorde intet ved det enorme hul de havde i deres system, og siden viste det sig, at de havde vidst det i månedsvis i forvejen, fordi nogle danskere tilfældigt havde logget ind i andres private konti med MitID. Hvorfor tvinges danskerne til dette ekstremt usikre login-system?

De voldsomme usikkerheder har med al sandsynlighed eksisteret i MitID siden lanceringen i sommeren 2021. Det vil sige efterhånden et par år. Det var venlige danskere, der tilfældigvis havde opdaget hullet - og havde informeret Digitaliseringsstyrelsen om deres oplevelser i henholdvist januar og maj 2022. I september 2022 var det så ingeniørmediet Version2 som havde lavet en selvstændig teknisk undersøgelse af MitID og foretaget hacks på systemet. Derefter havde de informeret Digitaliseringsstyrelsen om hullet i deres system. Mediet skrev desuden en artikel - som senere blev til en serie af artikler - om et håbløst loginsystem, en inkompetent offentlig organisation, ekstreme systemusikkerheder og et tilsyn som ikke fungerer. Desuden om generelt svigt - og tilsyneladende endda også om lodret løgn.

Ekstremt usikre MitID
I september 2022 kom det frem at "Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID". I denne artikel stod der bl.a.: "MitID indeholder flere alvor­lige designfejl, der gør det muligt både at gætte titusindvis af danskeres brugernavne og at lukke de mange brugere ude fra systemet i dagevis. I visse tilfælde kan designet betyde, at angribere kan logge ind i ofrenes MitID.
Senere i artiklen står der: "Det viser en undersøgelse af sikkerheden i MitID, som Version2 har foretaget. På bare en enkelt nat lykkedes det Version2 at gætte 11.000 valide MitID-­brugernavne med en meget simpel kodestump, der gættede på danske fornavne. Det åbner for misbrug af systemet, blandt andet fordi MitID ikke kræver noget kodeord.
Derefter lykkedes det Version2 at holde op til 17 brugere – der havde givet os lov til det – ude af MitID, 10 af dem i flere dage, uden at møde en eneste blokering noget som helst sted i processen. Der er med andre ord intet, der tyder på, at angrebet ikke kan udføres mod tusinder af danskere samtidig, hvis man er villig til at bryde loven og køre løs på de mange brugernavne, der er nemme at gætte."

En professionel sikkerhedsekspert, som ifølge artiklen bakkes op af flere eksperter fra branchen, udtaler: »Det er et angreb, en teenager ville kunne sætte i gang – det er simpelthen vildt«

Artiklen fortæller desuden: "De brugere, der udelukkes fra MitID på den måde, som Version2’s undersøgelse har demonstreret, har ingen chance for at gennemskue, hvad der rammer dem. Når de forsøger at logge ind, mødes de af en fejlmeddelelse, der fortæller, at de har indtastet brugernavnet rigtigt for mange gange tæt på hinanden, og at de skal vente 30 sekunder. Men det passer ikke.
Uanset om de venter 5 minutter, en halv time eller et døgn, kan de ikke logge på MitID, der allerede nu er den eneste mulighed, hvis man vil logge på adskillige netbanker. Det simple program holder hoveddøren til det digitale Danmark lukket.
Hvis det frustrerede offer åbner sin app for at se, hvad der foregår, vil der ligge en anmodning klar til at swipe på. Hvis ofret i frustration eller nysgerrighed swiper, lukker man angriberen ind med den højeste form for identifikation, vi har i Danmark.
Carsten Schürmann, der er professor i it-sikkerhed på it-universitetet, er ligesom eksperterne fra it-sikkerhedsbranchen bekymret oven på undersøgelsen: »Det er utrolig simpel kode, og mine studerende lærer denne form for angreb i løbet af de første to-tre uger på mine kurser,« lyder det fra professoren."

Digitaliseringsstyrelsens virkelighedsfulgt eller simpelthen lodrette løgn...?
Digitaliseringsstyrelsen, der er medejer af MitID sammen med Finans Danmark (som er en sammenslutning af danske banker) ønskede ikke at forholde sig til de konkrete fund i undersøgelsen, men forsikrede om, "at der er sat værn op mod denne slags angreb på vores digitale signatur i Danmark".

Hvordan de kunne sige det, efter at det modsatte netop var blevet bevist, vides ikke. Andet end måske at de simpelthen bare sagde noget, som var i modstrid med virkeligheden. Altså enten en art virkelighedsflugt eller måske bare det man normalt kalder løgn? Eller måske begge dele...?

Tvang fører til systemisk svaghed
En måned senere var den så gal igen: "»Eklatant brøler« i MitID: Alle kunne logge på med usikre CPR-numre":
"I fire dage var det muligt for enhver at logge på MitID med notorisk usikre CPR-numre blot ved at ændre i den URL, der viser sig, når man logger på med MitID. På den måde kan man helt omgå at skulle indtaste brugernavnet. Det opdagede sikkerhedsafdelingen hos Mobilepay, hvor fejlen skaber bekymring."
»Det undrede os, for folk har ikke behov for at logge ind med CPR i MitID. Det største problem er, at man potentielt kan blokere adgangen til hele vores digitaliserede samfund ved at udnytte det her. Ikke bare for én person, men for hele Danmark,« siger Morten Eskildsen, der er pentester hos Mobilepay.
Ifølge eksperter pegede dette nye hul i MitID på generelle sikkerhedsproblemer og de undrede sig over, "at en så usikker funktion eksisterer i systemets kerne."

Så ud over at eksperter mener at systemets kerne i MitID er usikkert, så peger personen fra MobilePay her på et andet grundlæggende problem: En ensartet og standardiseret login-løsning er nemlig principielt og systemisk svagere end mange forskellige løsninger, da man kun behøver bryde kæden ét (1) sted, for at få adgang til alle der er tvunget til at bruge løsningen.
Statens og bankernes tvang af danskerne til at bruge deres - i forvejen meget usikre - login-system giver således i sig selv en yderligere overordnet svaghed; nemlig den at hvis man kan bryde ind hos én person, er der principielt adgang til alle andre, som også er tvunget til at bruge systemet.
Endnu en grund til at spørge hvorfor den enkelte dansker ikke må få lov til, at vælge den loginløsning vedkommende anser som mest sikker på et frit marked af serviceydelser?

Fire måneder senere: Hullet stadig åbent
Fire måneder senere - i januar 2023 - testede Version2 igen MitID og skrev: "Danskernes brugernavne fosser stadig ud af MitID".
Intet var altså blevet gjort for at lukke det gigantiske hul, der var blevet påvist fire måneder tidligere.
Men Digitaliseringsstyrelsen mente jo også, "at der er sat værn op mod denne slags angreb på vores digitale signatur i Danmark" - hvad end dét betyder...?
Men det betød måske, at de simpelthen bare ikke ville rette fejlen og forhindre giganthullet i deres tvungne loginsystem...? Eller måske var det fordi, de ikke kunne rette det...? Hvem ved?

"Borgere loggede uvidende ind i andres MitID" - myndigheder mørklægger
I februar skrev Version 2 så dette: "Myndigheder mørklægger sager: Borgere loggede uvidende ind i andres MitID". Trods at mediet havde fået aktindsigt var store dele af de 110 sider, mediet havde fået, overstreget i dokumenterne og ulæseligt, med den undskyldning at det var af hensyn til sikkerheden i MitID.
Det fremgik dog, at Digitaliseringsstyrelsens direktør, redegjorde for, hvordan to identiske sager om login på fremmedes konti kunne opstå inden for få måneder. "Offentligheden må ikke vide, hvad der var sket", står der i artiklen.
Og vi "kan derfor heller ikke gøre noget for at forhindre, at det samme sker for os selv", som journalisten på Ingeniørens it-medie Version 2 formulerer det.

Fremmede var altså kommet ind på andres konti via MitID - tilsyneladende ved tilfældigheder. Og dette forsøgte Digitaliseringsstyrelsen og Datatilsynet at skjule - "af hensyn til sikkerheden". Det første tilfælde var sket allerede 1. januar 2022, den anden person, det skete for, var i maj 2022 - godt fem måneder efter den første sag. De havde altså været klar over denne fejl i fem måneder allerede tilbage i maj 2022, da den anden sag kom - og i næsten ti måneder, da Version 2 oplyste dem om de huller, ingeniørmediet havde fundet. Alligevel valgte Digitaliseringsstyrelsen at sige, "at der er sat værn op mod denne slags angreb på vores digitale signatur i Danmark". Og hullet fandtes altså stadig i januar 2023 - mere end et år efter Digitaliseringsstyrelsen første gang erfarede, at en person ved et tilfælde var logget ind på en anden persons konto.

En statslig institution, som "fører tilsyn" med en anden statslig institution
Datatilsynet kalder sig "en uafhængig myndighed", men hører under Justistministeriet. Hvordan Datatilsynet er "uafhængig" og fra hvem eller hvad meddeles ikke. I al fald ikke fra staten, som også er Digitaliseringsstyrelsens arbejdsgiver - hvilket må betegnes som det centrale her.
Digitaliseringsstyrelsen er en statslig styrelse, som ligger under Digitaliserings- og Ligestillingsministeriet.
Der er altså tale om en statslig institution, som "fører tilsyn" med en anden statslig institution, der tvinger danskerne til at bruge et ekstremt usikkert loginsystem. Et loginsystem, som de udmærket godt ved, gang på gang viser sig at give let adgang for uvedkommende til danskernes private bankkonti - og desuden kan holde disse mennesker væk fra overhovedet at tilgå deres netbank og andre vitale online services.

Store konsekvenser for danskernes digitale (u)sikkerhed - ingen konsekvens for Digitaliseringsstyrelsen
Inkompentencen og passiviteten hos Digitaliseringsstyrelsen og Datatilsynet havde således store konsekvenser for danskernes digitale (u)sikkerhed men i praksis ingen konsekvens for den statslige institution, som tvinger denne usikkerhed igennem.
Ingen tilbagetrækning af MitID-udrulningen eller opblødning i kravene om at alle danskere skal bruge den. Ingen fyringer for inkompentence, svigt, passivitet, hemmeligholdelse og fordrejning af virkeligheden.
Men derimod den ikke-konsekvens at Digitaliseringsstyrelsen fik "alvorlig kritik" og et påbud om at rette fejlen: Den 9. marts 2023 udkom artiklen "Digitaliseringsstyrelsen får »alvorlig kritik« og påbud af Datatilsynet: MitID er for dårligt sikret". Her kan man læse, at Datatilsynet - i et brev til Digitaliseringsstyrelsen tilbage i september 2022 - skrev:
»Der er grundlag for at udtale alvorlig kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne«.
Og desuden: »Datatilsynet finder endvidere grundlag for at meddele Digitaliseringsstyrelsen påbud om at foretage de nødvendige ændringer i MitID-appen, således at fejlen ikke længere kan opstå.«
De blev altså i bund og grund påbudt at gøre deres arbejde.

Hvis man lavede et angreb, ville antallet af ramte danskere eksplodere
Det er en så fundamental fejl i systemet, at det er meget svært at lukke, fremgår det af Version2-artiklerne om det ekstremt usikre MitID.
Offentligheden står uvidende om det meste i sagen, og vi ved for den sags skyld heller ikke, om nogle af de andre forunderlige oplevelser er en del af samme hul, eller er udtryk for andre huller i systemet. Eller om nogle af disse eventuelle andre huller på nuværende tidspunkt er lukket. For "myndighederne har jo mørklagt sagerne".
Selvfølgelig ikke fordi det er et knæk for tilliden til deres tvungne system, det er klart.
Nej-nej, det er "af hensyn til sikkerheden". Lige præcis den sikkerhed som deres login-system med al ønskelig tydelighed overhovedet ikke har.

I øvrigt fremgår det tilsyneladende, at der er tre - og ikke kun to - personer, som tilfældigt er logget ind i andres konti med MitID. Altså tilfælde Digitaliseringsstyrelsen kender til - der kan jo være flere andre, som ikke har oplyst noget til styrelsen.
Det er sikkerhedseksperten, som siger følgende:
»De tre sager her er sket ved et tilfælde. Forestil dig så, hvis der er nogen, der rent faktisk laver noget ondsindet og målrettet. Hvis man lavede et decideret angreb, ville det tal eksplodere«.

"Reduktion af risikoen" - men er fejlen i systemets kerne rettet...?
Den 6. juni 2023 kom så en opdatering af MitID og Digitaliseringsstyrelsen skriver: "Med opdateringen bindes indtastningen af bruger-ID og den efterfølgende godkendelse i MitID appen stærkere sammen og reducerer risikoen for svindelformer, hvor brugeren lokkes til at swipe på en handling, brugeren ikke selv har startet."
Vicedirektøren i Digitaliseringsstyrelsen udtaler desuden: ”Opdateringen er med til at beskytte brugerne mod en type svindel, vi desværre har set meget af, hvor brugere lokkes til at swipe på en handling, som de ikke selv har startet.”
Hvor meget "vi" har set af denne type svindel står hen i det uvisse, da sagerne jo er mørkelagt, men fra udtalelsen får man måske en fornemmelse af, at det har været mere end blot to eller tre tilfælde...?

Hvor troværdig og hvor kompetent er Digitaliseringsstyrelsen...?
Så hvor sikker eller usikker er MitID? Hvor meget har Digitaliseringsstyrelsen egentlig mindsket det enorme fundamentale hul der var i loginsystemet? Har de overhovedet ændret noget i den fundamentale designfejl, som er i systemets kerne? Hvor meget mere sikkert er systemet nu i forhold til før, hvor brugere ved tilfældigheder loggede ind på andres konti? Er systemet overhovedet mere sikkert nu i forhold til det...? Hvorfor adresserer Digitaliseringsstyrelsen slet ikke dét problem, når de fortæller om deres nye opdatering, som ellers skulle sikre, "at fejlen ikke længere kan opstå" - ifølge Datatilsynets krav.
Hvor pålidelige er de ting Digitaliseringsstyrelsen siger i det hele taget...?

Og hvor fagligt kompetente eller inkompetente er folkene bag MitID? Hvordan kan man lancere et tvungent nationalt loginsystem, som ved tilfældigheder giver adgang til uvedkommende? Den mest centrale funktion i et loginsystem er jo, at give brugerne sikkerhed for, at kun de - og ingen andre - kan (mis)bruge indgangen.

Så hvor troværdig er Digitaliseringsstyrelsen egentlig når de - efter at det er blevet bevist at der er et kæmpe hul i deres system, og at de ved at danskere logger sig ind på andres konti - siger "at der er sat værn op mod denne slags angreb"? Hvor betryggende er det, at det loginsystem, som danskerne er tvunget til at bruge for bl.a. at logge på deres netbank, står piv-åbent for kriminelle i godt og vel to år?

Hvorfor tvinges danskerne til at bruge denne usikre løsning?
Nu er vi så ved at være fremme ved det måske mest centrale spørgsmål omkring MitID: Hvorfor skal danskerne tvinges til at bruge dette voldsomt usikre loginsystem?
For hvis det ikke blev tvunget ned over hovedet på danskerne, ville problemet jo slet ikke være så stort. Så ville det blot være en mulighed blandt mange (hvis det overhovedet ville eksistere). Så ville dem, der fx ikke kan acceptere, at tilfældige fremmede måske logger på deres netbank, bare vælge en bank, som tilbød et andet login.
Så hvad handler tvangen om - og hvad er det staten gerne vil opnå med den?
Handler denne tvang virkelig om at give danskerne digital sikkerhed - eller handler det mon om noget helt andet...? Handler det tvungne MitID-login i virkeligheden om det, som vi ved kommer ud af centraliseringen og ensretningen - nemlig kontrol?.
For vi må vel i en eller anden grad konstatere, at det ikke for alvor kan handle om sikkerhed?
Så ville man ikke lancere en løsning, som var så ekstremt usikker og tilmed tvinge den igennem for alle danskere - et princip som i sig selv skaber yderligere systemisk usikkerhed.
Det vi til gengæld ved er, at centralisering i kombination med at alle tvinges til at bruge samme digitale login selvfølgelig skaber netop kontrol.
Kontrol med danskernes login på offentlige hjemmesider, banker, pengeinstitutter og andre vigtige steder er allerede etableret. På sigt måske yderligere kontrol med danskerne i forhold til hvordan de agerer bredere på internettet - hvis eller når det bliver krav at flere hjemmesider integrerer MitID. Desuden selvfølgelig kontrol med de data danskerne afgiver i forbindelse med at benytte det tvungne MitID-login.
Data som med al sandsynlighed gradvist bliver mere og mere biometrisk baseret - dvs. baseret på ansigtsscanning, fingeraftryk, irisscanning mv. Trods det at Digitaliseringsstyrelsen oprindeligt forklarede, at MitID ikke ville indeholde ansigtsgenkendelse, er den kontroversielle overvågningsteknologi alligevel allerede nu taget i anvendelse i det tvungne danske loginsystem. Endnu en utroværdighed fra Digitaliseringsstyrelsens side.
Lovgiverne havde også planlagt biometri i MitID lang tid inden systemet blev lanceret. En meget tilbundsgående argumentation for dette var simpelthen integreret i teksten til den fremlagte lovgivning om det tvungne system.
Og studerer man nogle af udmeldingerne fra direktøren i et af de firmaer, som implementerer MitID’s login på danske hjemmesider, får man indtryk af en person helt uden grænser i forhold til overvågning. Ja, faktisk er han tilsyneladende fascineret af det som vi andre opfatter som et sci-fi mareridt.
Du kan læse mere om disse ting her: MitID-partnerens fascination af sci-fi mareridt hvor overvågning indopereres i øjet



Læs også: