Når man tidligere loggede på hjemmesiden NemID.dk, loggede man ikke ud igen ved en række andre tjenester. Dermed kunne fremmede, der sad ved samme computer efter dig, få fat i et væld af personlige oplysninger, hvis man ikke lukkede browseren.
Det skriver Politiken.
NemID.dk har intet med den nye login-løsning med samme navn at gøre. Siden er en adgangsport til NemPost, der er en mailapplikation, som er udviklet af det private firma Assemble A/S. Siden har været adgang til mailtjenesten de sidste tre år.
Når man loggede ind med enten den digitale signatur eller den nye NemID - ved hjælp af NemLog-in - kunne man sende krypteret mails til myndighederne, blandt andet 70 kommuner.
Problemet var, at når man loggede ud af NemPost, var man fortsat logget på NemLog-in, som giver adgang til en lang række andre sider, blandt andet borger.dk, skat.dk, SU.dk og sundhed.dk.
Hvis man sad på en offentlig computer uden at lukke browseren ned, men blot var logget ud af NemPost, kunne andre borgere, der eksempelvis via et bibliotek eller en computercafe brugte samme browser, se lønforhold, skatteoplysninger, familiens cpr-numre og medicinforbrug. Brugeren kan også ændre navn på borgeren og borgerens børn og fravælge SU i to måneder.
"Vi har nu ændret, så man logger ud af alt, når man logger ud af Nempost," forklarer Morten Svendsen, direktør for Assemble A/S, til ComON.
Det er en helt anden side, NemID.nu, der er den officielle hjemmeside for Danmarks nye login-løsning. På den officielle er der ingen problemer.
DanID kendte ifølge Politiken til hullet allerede før sommerferien.
"Vi burde nok have advaret brugerne mod at gå ind på http://www.nemid.dk">www.nemid.dk", siger Michael Juul Rugaard fra DanID.
"Men det vil vi gøre nu," siger han til Politiken.
Man bør altid lukke en browser helt ned efter at have besøgt en hjemmeside med NemID, lyder opfordringen fra IT- og Telestyrelsen til Politiken.