Sikkerhetshull i tilskuddsportalen er lukket

Sikkerhetshullet som ble oppdaget i portalen torsdag 8. mars, ble lukket mandag 11. mars.

Print Norsk | 20. March 2024

Torsdag 8. mars ble vi gjort oppmerksom på et sikkerhetshull tilskuddsportalen for privat helsetjeneste. Hullet var knyttet til avvisning av samtykke gjennom pålogging via ID-porten.

Ble allikevel logget inn

Brukere som avviste samtykke til datadeling ble tilsynelatende ikke logget inn, men det var ikke riktig: brukeren ble logget inn uten at det var klart at dette skjedde. Brukeren ble automatisk logget ut etter 30 minutter hvis det ikke var noen aktivitet, som er standardkonfigurasjon.

Konsekvenser

Sikkerhetshullet kunne utnyttes gjennom at andre (enn den som ble innlogget) brukte samme maskin og nettleser. De kunne da skaffe seg tilgang til andre offentlige tjenester med den innloggede brukerens identitet.

Etter en intern undersøkelse mandag 11. mars ble sikkerhetshullet bekreftet – og lukket.