I januar 2022 kom flere borgere ud for, at de ved login i deres netbank via MitID fik adgang til andre borgeres konti. Dette blev anmeldt til Datatilsynet som brud på persondatasikkerheden af tre pengeinstitutter. Det fik Datatilsynet til at tage en sag op af egen drift for at undersøge det bagvedliggende problem.
Fejlen viste sig at skyldes, at login-anmodninger til samme netbank inden for millisekunder i særlige tilfælde kunne medføre, at MitID udstedte et såkaldt token til en anden session. Denne fejl kunne være undgået, hvis brokeren (den virksomhed, der formidler autentifikationssvaret - i dette tilfælde Signaturgruppen) havde valideret borgernes login med en teknologi, som kaldes Broker Security Context. Digitaliseringsstyrelsen, som er dataansvarlig for MitID, havde anbefalet dette, men ikke stillet det som et krav.
Men det burde have været et krav, vurderer Datatilsynet i afgørelsen - og konkluderer, at Digitaliseringsstyrelsen ikke har haft tilstrækkelige foranstaltninger for at opnå et sikkerhedsniveau, der passer til de risici, der er for borgerne. Samtidig er det Datatilsynets opfattelse, at Signaturgruppen som dataansvarlig for brokerløsningen heller ikke har haft passende sikkerhedsforanstaltninger, fordi de benyttede Broker Security Context på en anden måde end beskrevet i anbefalingen.
På den baggrund udtaler Datatilsynet alvorlig kritik af både Digitaliseringsstyrelsen og Signaturgruppen.
"Når det drejer sig om så central infrastruktur som MitID, er det afgørende, at den dataansvarlige laver den rigtige vurdering af risikoen. Den vurdering skal både tage højde for sandsynligheden for, at fejl opstår med den volumen, der er i løsningen - og for hvad risikoen er for de borgere, der skal bruge infrastrukturen," siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet.
Vil du vide mere?
Læs afgørelsen over for Digitaliseringsstyrelsen her.
Læs afgørelsen over for Signaturgruppen her.