Det står grelt til med sikkerheden i MitID, login-systemet, der 22. september blev den primære måde at logge ind på en række sider som Skat.dk, Borger.dk og Sundhed.dk.

Det skriver fagbladet Ingeniøren, hvis medie Version2 har foretaget en undersøgelse af it-sikkerheden. Version2 skriver, at det med en simpel stump kode formåede at gætte 11.000 brugernavne på en enkelt nat.

Mediet har talt med blandt andre Carsten Schürmann, som er professor i it-sikkerhed på IT-Universitetet i København.

Han kalder hackertricket for ”utrolig simpel kode”.

”Mine studerende lærer denne form for angreb i løbet af de første to-tre uger på mine kurser,” siger Schürmann til Ingeniøren.

Også Jan Kaastrup, som er partner i it-sikkerhedsfirmaet CSIS, udtrykker forundring over, hvor nemt det er at angribe systemet.

”Hold da kæft. Jeg vidste godt, at det kunne lade sig gøre, men ikke hvor nemt det var. Jeg synes virkelig, MitID har fejlet, og jeg synes, jeres undersøgelse viser det til UG med kryds og slange,” siger han til Ingeniøren.

Jan Kaastrup har desuden siddet i Europols it-sikkerhedsorgan European Cybercrime Centre.

Ifølge Ingeniørens undersøgelse indeholder MitID flere alvorlige designfejl, der gør det muligt både at gætte titusindvis af danskeres brugernavne og at lukke de mange brugere ude fra systemet i dagevis. I visse tilfælde kan designet betyde, at hackere kan logge ind i ofrenes MitID.

Digitaliseringsstyrelsen, der er medejer af MitID, har over for Ingeniøren ikke ønsket at forholde sig til de konkrete fund i undersøgelsen, men forsikrer om, at der er sat værn op mod denne slags angreb på vores digitale signatur i Danmark.

Tilsynet vil nu undersøge sagen, oplyser det til fagbladet.

NemIDs endeligt rykker nærmere: Nu bliver MitID standardvalget

NemID i stort nedbrud