Endnu en NemID-sag kom frem i weekenden, men den kræver tålmodige kriminelle og lækkede kodeord.
Den nye proces der er kommet frem i lyset, er forholdsvis simpel – den er dog kun gjort mulig af, at NemID-loginboksen skriver hvor mange nøgler der er tilbage på nøglekortet når man er logget korrekt ind.
I tilfældet hvor kriminelle har et offers login-navn (ofte et CPR-nummer) samt login-kodeord, er det muligt for kriminelle at følge med i hvor mange koder der er tilbage på nøglekortet.
Denne information bruger de kriminelle, så de ved hvornår det er tid til at bestille nyt nøglekort. De overvåger ofrets postkasse og fisker brevet med det nye nøglekort op.
De kriminelle kan have fået fat i brugerens kodeord via f.eks. en keylogger på et offentligt bibliotek.