Det kræver kun et simpelt login med brugernavn og password at gå online på Saxo Banks netbank. Tjenesten kræver hverken NemID, 2-faktor autentifikation eller anden ekstra sikkerhed.
Det fortæller Version2-læser Peder Møller, som samtidig er kunde i Saxo Bank.
»Jeg har oprettet min konto hos Saxo Bank for nylig og blev meget forundret over at der ikke var to-faktorgodkendelse af nogen art. Man bruger simpelthen sit id-nummer og sin kode og så en man inde. Selv fra en ny maskine kræves der ikke andet end dét,« siger han.
To-faktorautentifikation regnes normalt for at være en god og sikker måde at forhindre et login på en tjeneste, hvis det skulle lykkedes uvedkommende eller kriminelle at få fat i brugernavn og adgangskode.
»Den ringe sikkerhed synes jeg var chokerende og lidt af en dealbreaker,« tilføjer læseren.
Han har samtidig testet, om det også var muligt at overføre penge - ikke bare til egne konti, men til en vilkårlig konto efter det simple login. Og det var det:
»Det vil altså sige at hvis man får fat i id-nummer og kode for en Saxo Bank-kunde - fx ved et klassisk phishing-angreb - kan man sælge alle vedkommendes aktier og så tømme kontoen. Det synes jeg er direkte chokerende,« siger Peder Møller.
Bank glad for at være blevet gjort opmærksom på svaghed
Saxo Bank bekræfter at man kan tilgå bankens netbank med et simpelt login. Men også at man er meget glad for at være blevet gjort opmærksom på den potentielle svaghed i login-proceduren:
»Vi overholder gældende regler på området, og vi har et kontinuerligt fokus på at styrke sikkerheden for vores kunder, som anvender vores investeringsplatform i mere end 160 lande verden over. For os handler det derfor om hele tiden at sikre, at vi leverer løsninger, der fungerer for vores kunder på et globalt plan og samtidig er brugervenlige, intuitive og har en høj sikkerhed,« lyder kommentaren fra banken i en mail til Version2.
»I det konkrete tilfælde har en kunde i Danmark dog gjort os opmærksomme på en mulighed, der kan udnyttes ved, at man fejlagtigt bruger eget navn i en tredjepartsoverførsel til en bankkonto, man ikke er de reelle ejer af,« tilføjer Saxo Bank.
To-faktor dog muligt med tredjepartsløsning
Peder Møller er efter dialog med Saxo Bank blevet opmærksom på at det faktisk er muligt at slå to-faktor autentifikation til:
»Jeg skal bruge Symantics 'VIP Access' til at logge ind via min telefon. Det er lidt mere omstændigt end NemID, men jeg går ud fra at sikkerheden er lige så god.«
Banken oplyser, at man ikke tidligere har været bekendt med problemstillingen om mulighed for overførsel af penge til fremmede konto efter blot et simpelt login, ligesom banken heller ikke har modtaget henvendelser om det før.
»Vi er derfor glade for, at kunden nu gør os opmærksomme på det. Derfor vil vi implementere tiltag snarest muligt, der øger kontrollen ved den type af overførsler.«