Nordnets säkerhetsproblem är det värsta jag hört talas om

-
Få detaljer har ännu kommit ut om Nordnets problem förra veckan men det som redan är känt är extremt allvarligt.

Efter en mjukvaruuppdatering så hamnade en del användare som loggade in på andra personers konton. De fick full tillgång, kunde kolla personlig information, historik, göra affärer (länk till dn.se som har en betalvägg) och initiera uttag.

Säkerhetsproblemen började någon gång på morgonen tisdagen den 11 februari och Nordnet stängde banken runt lunch.

Nordnet räddades av att uttagskonton behöver verifieras innan de kunde användas så ingen hann göra uttag till sina egna konton.

Det här noterades först i Danmark, men gällde även svenska, och norska kunder. Efter en liten stund så insåg Nordnet katastrofen och gjorde det enda de kunde göra, de drog ut sladden till sina system. Sedan var Nordnets internetbank nere mest hela dagen medan folk på Nordnet gjorde något.

En del jämför det här med cache-problem som till exempel Steam hade 2015 men det här är betydligt allvarligare. Cacheproblemen har resulterat i att folk har fått se en webbsida som någon annan skapat vilket kan ha läckt personlig information, men det har inte gett någon full tillgång till någon annans konto.

Det mest specifika som Nordnet har sagt var i pressmeddelandet till börsen:

Orsaken var att en mjukvarukomponent kopplad till inloggning till Nordnets tjänster fungerade bristfälligt.

Exakt vad det betyder är svårt att veta, men det centrala är att det var själva inloggningen som gick fel, inte någon form av webbcache. Det bekräftas också av att människor lyckats handla på andras konton vid minst två tillfällen (enligt Nordnets FAQ)

Jag är Nordnetkund (liksom jag är kund i många banker, inklusive Avanza), och kunde ha varit en av de som drabbades eftersom jag uppfyllde kriterierna Nordnet listat. Jag frågade Nordnet samma dag om någon annan hade varit inne på mitt konto och fick ett par dagar senare ett meddelande om att mitt konto inte exponerats.

Det här är inte bara ett problem för Nordnets anseende utan är antagligen också en serie lagbrott. Banksekretessen är viktig och här bröt Nordnet mot den när de släppte in obehöriga personer på folks konton. Det finns också lagar om att skydda folks personliga uppgifter och banktillgångar är en extra skyddad personlig uppgift.

Jag hoppas det blir offentligt vad som gick fel så att andra kan lära av det. Jag skulle också vilja veta vad som gick fel hos TietoEvry för lite över ett år sedan när de söp bort all data, inklusive backupper för en rad företag och myndigheter. De har sagt att de utsattes för en "ransomwareattack", men hur den lyckades kryptera alla backupper utan att någon märkte något, det är illavarslanda. Den verkar i alla fall vara det som hänt även om TietoEvry inte har bekräftat något offentligt. Antagligen eftersom de blivit stämda och vill säga så lite som möjligt om sin egen inkompetens.

Nordnet har i det här fallet sagt att felet var i någon kod de inte skrivit själva, men mjukvara går sällan sönder av sig själv. Nordnet gjorde något som fick felet att dyka upp. De håller på att fasa ut inloggning utan bank-id så det kan vara relaterat.

Avanza har fått mycket, välförtjänt, skit för sina tekniska problem de senaste åren, men det här är mycket, mycket värre än att vara otillgänglig några timmar eller någon dag. Folk har pratat om dryga böter eller sanktionsavgifter för Nordnet och jag både tror och hoppas att det blir så. Det måste svida i plånboken när man missköter säkerheten för annars kommer banker slarva (göra "besparingar" tills säkerheten är urholkad).

Kommentarer

Skicka en kommentar

Berätta vad du vet, tror och tycker om de ämnen jag berör!

Populära inlägg i den här bloggen

Sveafastigheter på väg till börsen, men med många frågetecken

-
Bild
SBB, Ilija Batljans kraschande fastighetsbolag , försöker få in kontanter till att betala skulder och den senaste idén är att sälja hälften av ett dotterbolag, Sveafastigheter i form av en börsintroduktion den 18 oktober. Jag har lite chansaktier i form av SBB D, vilket kan ge företräde till aktier i Sveafastigheter så jag försöker analysera om de vore ett bra köp. Sveafastigheters prospekt innehåller allt som en potentiell aktieköpare behöver veta, förutom att den inte gör det. Det mest uppenbara är med, som att det är ett bolag med en 260 bostadsfastigheter och 14 500 lägenheter, och vilka fastigheter det är, men det räcker inte. Problemet för mig , och andra som läser prospektet, är att Sveafastigheter är helt nykomponerat då SBB skyfflat in alla(?) sina bostadsfastigheter i bolaget. Det gör att det inte finns någon historik att titta på. Prospektet är också fullt av vidlyftiga planer och irrelevant statistik om befolkningsutveckling, utöver de vanliga listorna på risker ...
Read more »

Hydromars ser ut som ett nytt bedrägeribolag (Varning!)

-
Bild
Jag fick häromdagen hemskickat ett erbjudande att teckna "konvertibelt skuldebrev" i ett företag som heter Hydromars. Det var väldigt nära att det åkte direkt i det runda arkivet, men jag blev lite nyfiken och började läsa. Brevet var inte tjockt . En blankett och en glansig A4-sida med text på båda sidorna. Man säger att man jobbar på vattenåtervinning i rymden. Ordet "vatten" fick mig att rynka lite på pannan men jag kommer till varför senare. Man säger också att man fått kontrakt med ESA för att skicka ut något i rymden. Broschyren använder argument som det här: "Välkända affärsmän och företagsledare som Elon Musk (SpecaX), Jeff Bezos (Blue Orirgin) och Sir Richard Branson (Virgin Galactic) investerar alla i rymdföretag". Det är sällsynt att man kan göra mig så ointresserad i bara en mening. Men ändå, alla företag som har lyckats har börjat smått och det är naturligt för nya företagare att inte vara experter på marknadsföring mot investerare, ...
Read more »

RikaTillsammans brokighet

-
Bild
För länge sedan , typ under stenåldern i Internetår, så blev "RikaTillsammans" min inkörsport till utdelningsinvesteringar och bloggsfären. Personen bakom RikaTillsammans är duktig på att formulera sig och att presentera idéer till andra. Han har också fått sin sajt att dyka upp när man gör webbsökningar och den kombinationen gör att många, liksom jag, hittat RikaTillsammans. Efter något år såg jag något nytt. Personen bakom RikaTillsammans försökte sälja in något som både såg ut som och luktade som ett Ponzibedrägeri ( Ponzi Scheme på engelska). Ett Ponzibedrägeri är något som suger in pengar från investerare, investerar en del, stjäl en del och delar ut resten till tidigare investerare för att ge intrycket av att det går med vinst och på det sättet lura in ännu mer pengar. Det han ville sälja gick under namnet "Better Globe", ett fint och lugnande namn med en på ytan bra verksamhet. Better Globe skulle ta investerarnas pengar, skicka dem till Kenya och U...
Read more »