54 banker glemmer at logge NemID-brugere af netbanken

Sikkerhedsbrist i netbankløsning fra SDC rammer 54 danske pengeinstitutter med i alt op mod 400.000 kunder. SDC afviser, at der er tale om et decideret sikkerhedshul.

Der er i alt 54 danske pengeinstitutter, hvor brugerne af netbankløsningen risikerer at efterlade deres netbank pivåben, hvis de bruger en pc, som deles med andre.

Sikkerhedshullet findes i en netbankløsning fra SDC, Skandinavisk Data Center, som anvendes af især en lang række mindre lokale sparekasser, men også større banker som Spar Nord og Lån & Spar. Det skriver Politiken.

Læs også: Ny sikkerhedsbrist: Banker logger ikke kunder af efter NemID-login

Problemet opstår, hvis brugeren blot lukker fanebladet i browseren, hvor netbanken var åben, uden at logge ud af netbanken. I så fald forbliver brugeren logget på med NemID. Hvis andre brugere får adgang til pc'en, uden selve browseren lukkes helt, så kan de få adgang til netbanken.

»Jeg kan ikke afvise, at situationen kunne opstå. Men jeg vil ikke kalde det et sikkerhedshul, for man skal undlade at klikke på log-ud-knappen. Men kønt ser det da ikke ud,« siger direktør Erik Jakobsen fra SDC til Politiken.

Han oplyser, at log ud-funktionen til netbanken har fungeret sådan i mange år, også før NemID. Ifølge SDC kender selskabet ikke til eksempler på, at sikkerhedsbristen skulle være blevet misbrugt.

Ifølge SDC ville en anden bruger, som fik adgang til en netbank, efter en bruger ikke havde logget ud, ikke kunne foretage transaktioner, fordi det ville kræve indtastning af en ny kode.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Lars Christensen

Hele ideen med NemId er, at det skulle være afløserne af den "stationære" digitale signatur. Det virker derfor søgt, at det ikke anses som et problem at log-ud ikke foretages automatisk.

Jeg er ikke meget for konspirationsteorier - men holdningen fra de ansvarlige ligner til forveksling, at agendaen for NemId er en helt anden end den offentligheden har fået kendskab til.

Det er selvfølgelig ikke sjovt for de ansvarlige, at de bliver mødt med nye fejl og mangler hver uge - men ansvarlighed er jo netop hele essensen omkring NemId.

Mvh Lars plbrake.dk

  • 0
  • 0
#3 Bo Kaltoft

... og derfor gør de andre banker det samme. Selvfølgelig skal man logge ud, dette samme gælder da for Facebook eller Gmail eller alle mulige andre ting i en browser. Du er logget ind indtil du logger ud eller du lukker browseren (alle vinduer). Det her er vist en journalist historie.

  • 0
  • 0
#5 Jesper Nielsen

Af ren interesse, hvordan gør man det? Jeg har googlet mig frem til onbeforeunload, men så kan man ikke navigere væk fra siden, uden at blive logget ud.

Du kan bruge onclick på alle dine links til at sørge for, at din onbeforeunload function ikke afvikles (eller ændres til noget, som ikke logger brugeren af,) når du bruger linksene til at navigere rundt på siden med.

Brugere som anvender browsere som ikke understøtter JavaScript eller som har deaktiveret dette, vil naturligvis stadig skulle logge ud selv.

  • 0
  • 0
#8 Jesper Kristensen

Så vidt jeg lige kan gennemskue gemmer Danske Bank sessionen i en JavaScript-variabel i en frame, som ikke unloades så længe man er på netbanken, i stedet for at gemme i en cookie. Så snart man navigerer væk unloades framen, og man er logget af.

Men jeg kan ikke se det helt store problem i at man i nogen banker ikke er logget af, hvis man ikke har logget af.

  • 0
  • 0
#9 Jesper Lund

Men jeg kan ikke se det helt store problem i at man i nogen banker ikke er logget af, hvis man ikke har logget af.

NemID skal ikke kun bruges af IT eksperter, men af hele befolkningen hvoraf hovedparten ikke har noget særligt forhold til at "logge ud". Eftersom det er muligt at designe systemet så man logger ud ved at lukke en browser tab/faneblad, bør man naturligvis gøre det. Alt andet er dybt uansvarligt.

Jeg checkede for sjov skyld min Squirrelmail webmail fra tre forskellige browsere (Firefox, Chromium og Konqueror) og her bliver jeg smidt ud ved at lukke en browser tab. Squirrelmail er selvfølgelig også kendt for sin sikkerhed..

I stedet for at designe systemene ordentligt, gør "man" (DanID, staten, bankerne) det til borgernes problem med anbefalinger om at man skal huske at lukke hele browseren ned (hvad bliver det næste? reboot Windows?). Men hov, NemID skal jo kunne bruges overalt, og der findes garanteret offentlige computere hvor "luk browser" funktionaliteten er de-aktiveret.

Ifølge Politiken eksisterer problemet i øvrigt ikke kun hos de 54 banker men også hos det offentlige http://politiken.dk/tjek/digitalt/internet/ECE1071882/skatdk-truer-din-n...

Jeg har ikke fået NemID endnu (og når jeg får det bliver det kun til netbanken; OCES-delen bliver over mit lig), så jeg har ikke selv kunne checke det.

  • 0
  • 0
#10 Jens Madsen

Man kunne f.eks. bruge ajax( eller Java, som banksektoren er så håbløst kørt fast i), til at lave et "ping" for at holde serversessionen i live, sådan ca hvert 30. sekund, kombineret med at sætte session-timeout til ca. 1 minut.

Og en anden timer, til at logge af, hvis der ikke har været aktivitet i x antal minutter...

Så burde det da være nogenlunde failsafe ?

  • 0
  • 0
Log ind eller Opret konto for at kommentere