Alvorlig kritik af Signaturgruppen for utilstrækkelig sikkerhed ved MitID

Dato: 23-06-2023

Datatilsynet udtaler alvorlig kritik af både Digitaliseringsstyrelsen og Signaturgruppen i en sag, hvor begge parter havde medansvar for utilstrækkelig sikkerhed i forbindelse med login med MitID.

Journalnummer: 2022-431-0171

Resumé

I januar 2022 kom flere borgere ud for, at de ved login i deres netbank via MitID fik adgang til andre borgeres konti. Dette blev anmeldt til Datatilsynet som brud på persondatasikkerheden af tre pengeinstitutter. Det fik Datatilsynet til at tage en sag op af egen drift for at undersøge det bagvedliggende problem.

Fejlen viste sig at skyldes, at login-anmodninger til samme netbank inden for millisekunder i særlige tilfælde kunne medføre, at MitID udstedte et såkaldt token til en anden session. Denne fejl kunne være undgået, hvis brokeren (den virksomhed, der formidler autentifikationssvaret - i dette tilfælde Signaturgruppen) havde valideret borgernes login med en teknologi, som kaldes Broker Security Context. Digitaliseringsstyrelsen, som er dataansvarlig for MitID, havde anbefalet dette, men ikke stillet det som et krav.

Men det burde have været et krav, vurderer Datatilsynet i afgørelsen - og konkluderer, at Digitaliseringsstyrelsen ikke har haft tilstrækkelige foranstaltninger for at opnå et sikkerhedsniveau, der passer til de risici, der er for borgerne. Samtidig er det Datatilsynets opfattelse, at Signaturgruppen som dataansvarlig for brokerløsningen heller ikke har haft passende sikkerhedsforanstaltninger, fordi de benyttede Broker Security Context på en anden måde end beskrevet i anbefalingen. 

På den baggrund udtaler Datatilsynet alvorlig kritik af både Digitaliseringsstyrelsen og Signaturgruppen (nedenfor).

Afgørelse

Datatilsynet har i januar 2022 modtaget anmeldelser fra en række pengeinstitutter, der benytter BEC som databehandler, om brud på persondatasikkerheden, der har relation til MitID. Datatilsynet har på baggrund af anmeldelserne anmodet Digitaliseringsstyrelsen og BEC om yderligere oplysninger. Af disse fremgår det, at der i MitID har været en samtidighedsfejl, der har indebåret, at to personer, der ville logge ind i samme pengeinstitut inden for samme millisekunder, kunne risikere at få udstedt identiske tokens, der fra MitID blev videresendt til den broker, der etablerede kontakten mellem pengeinstituttet og MitID.

BEC har ved en udtalelse til Datatilsynet oplyst, at Signaturgruppen varetager funktionen som broker mellem BEC og MitID, hvorfor Datatilsynet den 16. marts 2022 anmodede Signaturgruppen om en række oplysninger om sagen. Den 30. marts 2022 fremsendte Signaturgruppen en udtalelse til Datatilsynet.

På baggrund af udtalelsen fremsendte Datatilsynet en anmodning om yderligere oplysninger til Signaturgruppen. Signaturgruppen fremkom herefter den 16. maj 2022 med en ny udtalelse til sagen. Den 23. maj 2022 fremsendte Datatilsynet endnu en anmodning om yderligere oplysninger til Signaturgruppen. Signaturgruppen fremkom med en sådan udtalelse den 10. juni 2022.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Signaturgruppens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

Det bemærkes, at tilsynet også d.d. har truffet afgørelse over for Digitaliseringsstyrelsen. Datatilsynet fandt grundlag for at udtale alvorlig kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1, idet Datatilsynet fandt, at Digitaliseringsstyrelsen før den 10. januar 2022 skulle have gjort implementering af Broker Security Context til et obligatorisk krav for brokere til MitID.

2. Sagsfremstilling

Det fremgår af sagen, at brugere i flere tilfælde har oplevet at logge ind på sin netbank ved brug af MitID, hvorefter disse fik adgang til andre og uvedkommende brugeres netbank.

Det fremgår videre af sagen, at hændelserne er opstået ved et tidsmæssigt sammenfald mellem to forskellige brugeres login – dvs. inden for millisekunder – på samme tjeneste gennem Signaturgruppens Nets eID Broker (”NeB Broker”).

Signaturgruppen varetager ifølge sagens oplysninger funktionen som broker mellem BEC og MitID. I forbindelse med selve autentifikationen af en bruger sendes et request via browseren til brokeren (Signaturgruppen), som via MitID-anvendelsesmodellen ”Package” starter MitID-klienten op. Herefter håndteres MitID-dialogen med brugeren i et pop-up-vindue, hvor der kommunikeres ind mod MitID-kernen. Ved vellykket autentifikation sendes respons (token) retur til BEC via brokeren, og brokeren modtager en bekræftelse på, at autentifikationen er vellykket samt det tilhørende MitID’s UUID. UUID’et anvendes som opslag i BEC’s Netbank Administrationsdatabase for at give adgang til rette bruger. Responsen, som returneres, kan enten være positiv (indeholdende UUID) eller negativ (indeholdende ”fail”).

Signaturgruppen har oplyst, at der blev returneret et forkert MitID bruger-ID (UUID) i forbindelse med, at brokeren modtog godkendelse af brugerautentifikation med tilhørende brugerinformation, dvs. MitID bruger-ID. Det returnerede MitID bruger-ID hørte i de konkrete tilfælde til en anden brugers login-session, som kørte samtidigt i en anden browser og med en anden bruger.

Samtidighedsproblemet opstod ifølge Signaturgruppen i MitID’s egen forretningsapplikation, og fordi Signaturgruppen ved en fejl kun havde implementeret en MitID-anbefalet sikkerhedsforanstaltning delvist. Af disse årsager blev samtidighedsproblemet ikke detekteret af Signaturgruppens applikation, hvilket førte til, at Signaturgruppen viderebragte fejlen i MitID til de berørte netbanker.

Det fremgår af sagens oplysninger, at Digitaliseringsstyrelsen forud for hændelserne havde kommunikeret et sæt ”Broker Security Requirements” indeholdende to grupper af sikkerhedsforanstaltninger – nogle påkrævede og nogle anbefalede. Signaturgruppen har oplyst, at Signaturgruppen forud for hændelserne havde implementeret alle påkrævede sikkerhedsforanstaltninger rettet mod brokere. Signaturgruppen havde forsøgt at implementere en anbefalet foranstaltning ”Broker Security Context”, men havde dog en fejl i implementeringen. Broker Security Context indeholdt blandt andet en anbefaling om, at brokeren kunne opdage sessions-fejl ved at validere den token, der modtages fra MitID-kernen, såfremt processen ved start er blevet tildelt en sessions-ID og ved at tjekke, om autentifikationssvaret indeholder en værdi, der er forskellig fra den værdi, som brokeren oplyste, da flowet startede.

Det fremgår videre, at sikkerhedsforanstaltningen kan anvendes til at opdage, når fejlen opstår, uanset andre omstændigheder vedrørende matchende broker- eller tjenesteudbyder-ID for forskellige brugere, der forsøger at logge ind på samme tid. Broker Security Context forudsætter dog, at brokeren angiver værdien, når flowet startes. Det blev endvidere anbefalet, at brokeren anvender en tilfældig værdi med høj entropi, da det nedbringer risikoen for forveksling af værdier. Signaturgruppen har oplyst, at virksomhedens implementering ikke havde tilstrækkelig høj entropi.

Signaturgruppen har efter hændelsen implementeret de anbefalede sikkerhedsforanstaltninger i NeB Broker, som forhindrer, at identiske tokens kan give uberettiget adgang til tjenester. Ifølge Signaturgruppen ville sikkerhedsforanstaltningerne have forhindret bruddene, hvis de havde været implementeret korrekt.

Signaturgruppe har oplyst, at fejlen skyldes en menneskelig fejllæsning af anbefalingen hos udviklingsgruppen hos Signaturgruppen. Signaturgruppen har dokumenteret tests og sourcekode-eksempler samt gennemgået eksternt code-review og penetrationstest, men den pågældende fejl kom dog først frem under selve driften i samspil med MitID, da der kom meget trafik på løsningen. Der var i implementeringsforløbet for MitID ikke belastningstests som omfattede brokere og tjenesteudbydere.

Behandling af autentifikationssvar i MitID sker i to overordnede dataflows kaldet upstream og downstream. Downstream-flowet vedrører videregivelse af autentifikationssvaret. Det er Digitaliseringsstyrelsen, der videregiver data til brokeren, som herefter videregiver data til en tjenesteudbyder. Brokeren er selvstændig dataansvarlig for behandling og videregivelse af de data, der modtages fra MitID-kernen, som Digitaliseringsstyrelsen er datatansvarlig for.

Ifølge Signaturgruppen kan brokere anvende forskellige modeller til implementering af autentifikationsflowet, herunder pakkemodellen, som Signaturgruppen anvender. I pakkemodellen benytter brokeren komponenter til autentifikation med MitID, hvor MitID-klienten og backend bliver leveret af Digitaliseringsstyrelsen. I pakkemodellen skal brokeren implementere det sikkerhedsprodukt, der bliver stillet til rådighed af Digitaliseringsstyrelsen, herunder de sikkerhedsforanstaltninger, der følger med til denne model.

I MitID behandler brokere datapunkter om autentifikationssvar og risikodata. Brokeren skal alene videreformidle de oplysninger under autentifikationssvaret, som modtages fra Digitaliseringsstyrelsen. Fejlen var i MitID-kernen, og det er Signaturgruppens opfattelse, at fejlen derfor alene vedrører autentifikationssvaret.

Signaturgruppens rolle var at videreformidle oplysninger fra Digitaliseringsstyrelsen til en tjenesteudbyder, hvilket medførte behandling af ukorrekte data, som viste sig i relation til det samtidighedsproblem, hvormed brugere i flere tilfælde har oplevet at logge ind på sin netbank ved brug af MitID, hvorefter disse fik adgang til andre og uvedkommende brugeres netbank.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger i overensstemmelse med det af Signaturgruppen forklarede til grund, at en MitID-anbefalet sikkerhedsforanstaltning omkring tildeling af sessions-ID’er ikke var sket med en fornøden høj entropi. Datatilsynet lægger yderligere til grund, at der i flere tilfælde opstod et samtidighedsproblem, der ikke blev detekteret af Signaturgruppens applikation, hvilket førte til, at Signaturgruppen viderebragte fejlen fra MitID til de berørte netbanker. Dette medførte, at to personer, der ville logge ind i samme pengeinstitut inden for samme millisekunder, kunne risikere at få udstedt identiske tokens, der fra MitID blev videresendt til den broker, der etablerede kontakten mellem pengeinstituttet og MitID. Brugere har i flere tilfælde af den grund oplevet at logge ind på sin netbank ved brug af MitID, hvorefter disse fik adgang til andre og uvedkommende brugeres netbank.

3.1. Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Datatilsynet lægger – i overensstemmelse med det af Signaturgruppen forklarede – til grund, at Signaturgruppen er dataansvarlig for de behandlinger af personoplysninger, der sker i brokerløsningen.

Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at man som dataansvarlig og broker til en teknisk logon-løsning, hvor der behandles personoplysninger, her MitID, sikrer korrekt implementering af anbefalede sikkerhedsforanstaltninger med henblik på at undgå utilsigtet adgang til personoplysninger for uvedkommende. Datatilsynet finder, at der er en skærpet risikoprofil når logon-løsningen giver adgang til en netbank-løsning.

Datatilsynet finder på den baggrund, at Signaturgruppen skulle have implementeret den af MitID anbefalede sikkerhedsforanstaltning i NeB Broker med en højere entropi. Ved ikke at have gjort dette har Signaturgruppen ikke truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved behandlingen af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet udtaler på den baggrund alvorlig kritik af, at Signaturgruppens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har ved valg af reaktion lagt vægt på, at der er tale om utilsigtet adgang til personoplysninger, i hvert fald om økonomiske forhold, og at denne adgang sandsynligvis har indebåret en ikke ubetydelig risiko for de registreredes rettigheder eller frihedsrettigheder, og at der ikke var truffet tilstrækkelige tekniske og organisatoriske foranstaltninger, der kunne forhindre bruddet. Tilsynet har videre lagt vægt på, at der er tale om en landsdækkende løsning, hvis primære formål er at validere identifikation af enkeltpersoner med henblik på at give adgang til alene de oplysninger, som vedkommende er berettiget til at få adgang til, herunder personoplysninger. Herudover har Datatilsynet tillagt det vægt, at Signaturgruppen straks efter hændelsen har implementeret de anbefalede sikkerhedsforanstaltninger i NeB Broker, som forhindrer, at identiske tokens kan give uberettiget adgang til tjenester.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).