Stora säkerhetsluckor i mobilbank
Publicerad 2013-09-13
Det räcker med någon annans pinkod och personnummer så kan man logga in på deras mobilbank.
Åtminstone om man har Danske banks mobilapp.
Nu uppmanar Datainspektionen banken att höja säkerheten för att skydda kunderna – annars kan appen förbjudas, rapporterar SVT Nyheter.
Kommer du över en annan persons pinkod och personnummer kan du också enkelt logga in på deras mobilbank. Då kan du förvisso inte komma åt pengarna på kontot, men kan skapa dig en bra bild över den andra personens ekonomi.
– Vad har du handlat, har du varit hos en läkare och betalat en läkarräkning, hur mycket får du i lön och vilka lån har du, säger Adolf Slama, it-äskerhetsexpert på Datainspektionen till SVT Nyheter som ett exempel på vilken information man kan komma över.
"Håller inte måttet"
För att komma till rätta med det här problemet valde Datainspektionen att inleda en granskning av Nordeas, Handelsbankens och Danske Banks mobilappar i slutet på 2011. De tre bankerna bedömdes ha de största säkerhetsriskerna i sina mobilappar.
Alla tre banker har nu kommit med förslag på hur säkerheten ska höjas men enligt Datainspektionen är Danske Banks förslag inte säkert nog.
– Den lösningen de föreslår håller inte måttet. Vi kommer att följa upp det här. Har de inte gjort något då så kan vi förbjuda dem att ha appen igång, säger Adolf Slama till SVT Nyheter.
Kan förbjudas
Danske Banks förslag innebar att appen skulle känna igen varje användares unika sätt att slå in pinkoden. Man skulle alltså vara tvungen att slå in sin kod med samma hastighet och tryckstyrka varje gång för att kunna logga in.
Men det räcker inte för Datainspektionen. De gör bedömningen att det blir svårt att hitta en medelväg som både stänger ute obehöriga och garanterar att användaren kan logga in oavsett fysiskt tillstånd. Nu har Danske Bank på sig till 2014 med att hitta på en ny lösning – annars kan appen förbjudas.
Andra banker godkända
Handelsbankens och Nordeas förslag har däremot godkänts av Datainspektionen. De föreslår att bankappen ska knytas till en viss telefon. På så sätt ska inloggningen begränsas och tillsammans med pinkoden ska det ge ett tillräckligt skydd mot intrång.