Alvorlig kritik af Signaturgruppen for utilstrækkelig sikkerhed ved MitID-login

I januar 2022 oplevede flere borgere, at de ved login i deres netbank via MitID fik adgang til andre borgeres konti. Tre pengeinstitutter anmeldte dette som et brud på persondatasikkerheden til Datatilsynet, hvilket førte til, at tilsynet iværksatte en undersøgelse af egen drift.

Fejlens Omfang og Årsag

• Fejlen opstod, når login-anmodninger til samme netbank inden for millisekunder førte til, at MitID udstedte et token til en anden session.
• Digitaliseringsstyrelsen, som er dataansvarlig for MitID, havde anbefalet, men ikke krævet, at brokeren (Signaturgruppen) validerede borgernes login med Broker Security Context.

Parternes Ansvar

• Datatilsynet vurderer, at Digitaliseringsstyrelsen burde have gjort Broker Security Context obligatorisk.
• Signaturgruppen, som dataansvarlig for brokerløsningen, kritiseres for ikke at have implementeret Broker Security Context korrekt.

Datatilsynet har på baggrund af sagen også truffet en afgørelse overfor Digitaliseringsstyrelsen.

Afgørelse

Datatilsynet udtaler alvorlig kritik af Signaturgruppen for ikke at have sikret et tilstrækkeligt sikkerhedsniveau i overensstemmelse med Databeskyttelsesforordningen § 32, stk. 1.

Begrundelse

• Signaturgruppen implementerede ikke den anbefalede sikkerhedsforanstaltning (Broker Security Context) med tilstrækkelig høj entropi.
• Dette medførte et samtidighedsproblem, hvor brugere utilsigtet fik adgang til andre brugeres netbankkonti.
• Datatilsynet vurderer, at Signaturgruppen som dataansvarlig for brokerløsningen skulle have sikret korrekt implementering af anbefalede sikkerhedsforanstaltninger for at undgå utilsigtet adgang til personoplysninger.

Datatilsynet har lagt vægt på, at Signaturgruppen efter hændelsen implementerede de anbefalede sikkerhedsforanstaltninger i NeB Broker, som forhindrer, at identiske tokens kan give uberettiget adgang til tjenester.