NemID og Dankort-systemer kan være ramt af alvorligt sikkerhedshul på nettet

April 10, 2014 by admin · Leave a comment

Både betalingsinfrastrukturen i Danmark og NemID kan være påvirket af et alvorligt sikkerhedshul, der kom for dagens lys tidligere på ugen, og som potentielt kan have blotlagt strengt fortrolige oplysninger på et stort antal servere verden over.

Det fremgår af en tilbagemelding fra Nets, der står bag NemID. Ud over den digitale logon-løsning står Nets også bag Dankort-systemet, både det fysiske, men også det virtuelle i forbindelse med kortbetaling i netbutikker.

»Det er en problemstilling, som vi tager meget alvorligt og vi er i gang med at analysere alle Nets’ systemer for at se, om problematikken påvirker vores systemer. Vi kan ikke udtale os om eventuelle påvirkninger, før konklusionerne af denne analyse er klar. Det er som sagt noget, vi tager meget alvorligt, og som vi arbejder med lige nu, men jeg kan ikke sige, hvornår vi har konklusionerne af analysen,« oplyser Ulrik Marschall fra Nets’ kommunikationsafdeling i en e-mail.

Læs også: Hul i OpenSSL: En halv million hjemmesider er sikkerhedsudsat

Sikkerhedshullet, kaldet Heartbleed, gør det kort fortalt muligt for vilkårlige personer at koble op til en server, der anvender en sårbar udgave af det såkaldte OpenSSL-bibliotek. Herefter kan serveren narres til at sende fortrolige data tilbage fra dens hukommelseslager til en angriber.

Data kan ifølge Codenomicon, virksomheden, der opdagede sikkerhedshullet sammen med en Google-ansat, være den private nøgle, der bliver brugt til at identificere serveren over for besøgende. Det kan også være brugernavn, kodeord og andet vilkårligt dataindhold. Eksempelvis indholdet af en chatbesked, indholdet af en e-mail eller oplysningerne fra et betalingskort.

Læs også: Ekspert om omfattende SSL-sårbarhed: Derfor skal du skifte alle dine kodeord

Sårbarheden har eksisteret siden 2012, men er først blevet lukket i april i år. Blogger på Version2 og it-sikkerhedsekspert fra virksomheden Solido Networks Henrik Kramshøj opfordrer alle over en bred kam til at skifte det eller de kodeord, de anvender – og i øvrigt anvende forskellige kodeord forskellige steder.

I den forbindelse er det en god idé at tjekke, om en server stadig er sårbar, inden kodeordsskifte, da det nye kodeord ellers også risikerer at blive kompromitteret. Det kan gøres her http://filippo.io/Heartbleed/. Man bør således ikke skifte sit kodeord, før man er sikker på, at serveren er opdateret.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>