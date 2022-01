Hvis man mandag forsøger at komme ind på den nye offentlige sikkerhedsordning MitID, så bliver man mødt af en kæmpe advarsel.

'Din forbindelse er ikke privat. Brugere med ondsindede hensigter kan forsøge at stjæle dine oplysninger fra mitid.dk,' lyder det.

Det er ikke dig, der har begået en fejl, men i stedet selskabet bag MitID, der har begået en kæmpe brøler.

Det fortæller en af Danmarks førende online sikkerhedseksperter Peter Kruse fra CSIS Security Group til B.T.

»Det er alle, der besøger mitid.dk, som bliver mødt af den her besked. Det er sitets certifikat, som ikke længere er gyldigt,« siger Peter Kruse og uddyber, hvorfor det er et problem:

»Certifikatet bekræfter, at det er et gyldigt site. Uden det, kan man ikke validere, hvem der rent faktisk står bag sitet. Om ejeren er den, som de udgiver sig for at være,« siger Peter Kruse.

Det er et potentielt kæmpeproblem, forklarer han.

Ikke kun fordi man dermed har svært ved at tilgå den nye milliarddyre sikkerhedsløsning, der er sat i verden for at afløse NemID, men man kan uden certifikatet ikke vide, om det ret beset er svindlere, der forsøger at lokke personnummer eller kortoplysninger ud af brugerne.

»Det giver driftforstyrelser – potentielt også med appen. Det er det ene problem. Men det andet er, at det skaber utryghed om en tjeneste, som netop skal skabe tryghed. I princippet kan nogen jo have overtaget mitid.dk og forsøge at stjæle personlige oplysninger,« siger Peter Kruse.

Han forklarer, at sådan en brøler, som det vi ser med mitid.dk er noget, som IT-kriminelle drømmer om.

Det kan nemlig være med til at hjælpe dem i deres kriminelle forehavender.

»Hvis en kriminel eksempelvis har oprettet en hjemmeside, der hedder midtid.dk i håb om at få folk fra mitid.dk over for at høste deres data, så er det her jo fantastisk. For på et falsk site vil man netop møde en meddelelse om, at forbindelsen ikke er privat. Men når man møder samme meddelelse på mitid.dk, så tror folk, at der ikke er problemer næste gang, de møder sådan en besked,« siger Peter Kruse.

Normalt er det at opdatere sit certifikat noget, som tager omkring en time. Og derfor er det ikke noget, som folk bag netløsninger har problemer med, forklarer Peter Kruse.

»Hvis man er lidt skarp, så kan man opdatere sit certifikat på en time. Det er en helt almindelig proces. Og så gælder det i op til to år, som det var tilfældet med MitIDs seneste certifikat, der netop er udløbet.«

Normalt er en opdatering af en hjemmesides certifikat noget, virksomheden bag har sikret sig i god tid. Og det bør professionelle virksomheder også gøre.

Derfor kan selskabet bag MitID ikke være helt tilfredse med sig selv.

»Det er pinligt det her. Det er en løsning til mange milliarder, og så laver de sådan en fejl. Netop MitId burde have ekstra fokus på sådan noget. De bør have enormt røde ører,« siger Peter Kruse.