Adgang til Saxo Bank online kræver kun simpelt login: »Det er chokerende«

Illustration: TeroVesalainen/Bigstock
Saxo Bank vil øge sikkerheden omkring overførsel til andre konti end egne efter henvendelse fra Version2-læser.

Det kræver kun et simpelt login med brugernavn og password at gå online på Saxo Banks netbank. Tjenesten kræver hverken NemID, 2-faktor autentifikation eller anden ekstra sikkerhed.
Det fortæller Version2-læser Peder Møller, som samtidig er kunde i Saxo Bank.

»Jeg har oprettet min konto hos Saxo Bank for nylig og blev meget forundret over at der ikke var to-faktorgodkendelse af nogen art. Man bruger simpelthen sit id-nummer og sin kode og så en man inde. Selv fra en ny maskine kræves der ikke andet end dét,« siger han.

To-faktorautentifikation regnes normalt for at være en god og sikker måde at forhindre et login på en tjeneste, hvis det skulle lykkedes uvedkommende eller kriminelle at få fat i brugernavn og adgangskode.

»Den ringe sikkerhed synes jeg var chokerende og lidt af en dealbreaker,« tilføjer læseren.

Han har samtidig testet, om det også var muligt at overføre penge - ikke bare til egne konti, men til en vilkårlig konto efter det simple login. Og det var det:

»Det vil altså sige at hvis man får fat i id-nummer og kode for en Saxo Bank-kunde - fx ved et klassisk phishing-angreb - kan man sælge alle vedkommendes aktier og så tømme kontoen. Det synes jeg er direkte chokerende,« siger Peder Møller.

Bank glad for at være blevet gjort opmærksom på svaghed

Saxo Bank bekræfter at man kan tilgå bankens netbank med et simpelt login. Men også at man er meget glad for at være blevet gjort opmærksom på den potentielle svaghed i login-proceduren:

»Vi overholder gældende regler på området, og vi har et kontinuerligt fokus på at styrke sikkerheden for vores kunder, som anvender vores investeringsplatform i mere end 160 lande verden over. For os handler det derfor om hele tiden at sikre, at vi leverer løsninger, der fungerer for vores kunder på et globalt plan og samtidig er brugervenlige, intuitive og har en høj sikkerhed,« lyder kommentaren fra banken i en mail til Version2.

»I det konkrete tilfælde har en kunde i Danmark dog gjort os opmærksomme på en mulighed, der kan udnyttes ved, at man fejlagtigt bruger eget navn i en tredjepartsoverførsel til en bankkonto, man ikke er de reelle ejer af,« tilføjer Saxo Bank.

To-faktor dog muligt med tredjepartsløsning

Peder Møller er efter dialog med Saxo Bank blevet opmærksom på at det faktisk er muligt at slå to-faktor autentifikation til:

»Jeg skal bruge Symantics 'VIP Access' til at logge ind via min telefon. Det er lidt mere omstændigt end NemID, men jeg går ud fra at sikkerheden er lige så god.«

Banken oplyser, at man ikke tidligere har været bekendt med problemstillingen om mulighed for overførsel af penge til fremmede konto efter blot et simpelt login, ligesom banken heller ikke har modtaget henvendelser om det før.

»Vi er derfor glade for, at kunden nu gør os opmærksomme på det. Derfor vil vi implementere tiltag snarest muligt, der øger kontrollen ved den type af overførsler.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Sørensen

At de først retter det når en kunde gør opmærksom på det er desværre for sent. Det er så elementært at det illustrerer at organisationen måske ikke har ret meget fokus på sikkerhed helt generelt, så hvis jeg var kunde ville jeg nok tænke over hvor mange andre huller de har i deres systemer.

  • 12
  • 0
Klaus Seistrup

Det vil altså sige at hvis man får fat i id-nummer og kode for en Saxo Bank-kunde - fx ved et klassisk phishing-angreb - kan man sælge alle vedkommendes aktier og så tømme kontoen.

Er det korrekt?

Hos Lån & Spar kan man komme ind og se kontooversigt og -uddrag m.m. blot ved at anvende brugernavn og adgangskode i NemID-boksen, men man skal have nøglekortet frem hvis man vil foretage en overførsel.

Kan man rent faktisk foretage overførsler i Saxo Bank ved udelukkende at logge ind med brugernavn og adgangskode, eller kan man kun se kontooversigter, lissom hos Lån & Spar?

  • 0
  • 2
Martin Sørensen

Kan man rent faktisk foretage overførsler i Saxo Bank ved udelukkende at logge ind med brugernavn og adgangskode, eller kan man kun se kontooversigter, lissom hos Lån & Spar?


Når det er skrevet så specifikt, kan det næsten ikke være en misforståelse:

Han har samtidig testet, om det også var muligt at overføre penge - ikke bare til egne konti, men til en vilkårlig konto efter det simple login. Og det var det:

  • 8
  • 0
Tommy Calstrup

Hvis bare kunderne gad holde deres mund, og gøre, som vi siger, så ville det altså være noget lettere, at drive sin forretning. Som om det ikke er bøvlet nok, at de kommer rendende midt i arbejdstiden, og forstyrrer de ansatte, med alle mulige spørgsmål, nu vil de gud hjælpe mig, også have os til, at bekymre os, om DERES sikkerhed, og så på internettet endda.
Det er ikke nemt, at drive en bank, i dag.

  • 4
  • 1
Hans Nielsen

Det ser ud til at man ikke kan overfører til en 3 mands konto.
Eller det har været mening, men på grund af en fejl i systemet, så har det været forholdvis simple at forbi gå dette.

Regler om blokering og brug af Nemid, har nok ligget efter den regle som betød at overføresel mellem egen konti er ok, uden kontrol.

Denne fejl, hvor systemt har tilad overføresle til 3 mandskonto, hvis man angav sit eget navn, har været simple. Så simple at der ikke blev testet for det, eller andre har prøvet det før nu, eller nogle har misbrugt det.
Fejlen findes måske også i andre netbanker.

Jeg synes at Saxo Bank har handlet fint, over for anmelder og har behandlet ham ordenligt, ingen politi anmeldel osv.
De skylder ham bestemt mere end 2 kasser vin, en helt kasse med meget god vin, vil helt sikkert være på sin plads.

Men sikkerheden, eller den manglene kontrol og test af et meget vigtigt produkt som netbank. Det skal Saxo Bank, da helt sikkert have på punklen for.

Men tror desvære ikke, at dette er eneste sikkerheds fejl, ved især nok de mindre banker. De ønsker jo ikke at skræmme kunder væk ved at gøre noget besværligt, eller at bruge for mange penge på sikkerhed.

Som at 4 ciffer i pind koder, var alt for lidt, og dårlig sikkerhed, endtil at man skulle lave et nemt mobilprodukt. Hvorefter at bankerne, næste puttet et krav om kun 4 ciffer ned i halsen på kunderne.

  • 1
  • 2
Jacob Gorm Hansen

... skal man nok vaere mere bekymret for hvad bankens medarbejdere laver paa ens konti, end for hackere: https://www.fyens.dk/erhverv/Landsret-aendrer-afgoerelse-og-doemmer-Saxo... . I dette tilfaelde haevede banken uretmaessigt (iflg. Landsrettens dom) 3 mio kr hos en kunde, for at daekke bankens egne spekulationsstab. Mange andre kunder var ude for det samme den nat, men de faerreste havde raad til at foere en langvarig sag mod Saxo Bank.

  • 8
  • 0
Henrik Biering Blogger

... at Saxo blev opmærksom på behovet for 2 faktor autentifikation.

For EU's PSD2 (Second Payment Services Directive) gør "Strong Customer Authentication" (SCA) som involverer to eller flere faktorer til et krav fra 14. september.

Nu er sikkerhedsmangler hos banker desværre generelt nærmere normen end undtagelsen, så derfor har Den Europæiske Banktilsynsmyndighed (EBA) for nylig måttet udgive en "opinion", med svar på mange af de spørgsmål/problemer der har været luftet omkring SCA. Den vil formentlig være nyttig læsning for Saxo Bank.

  • 0
  • 0
Jacob Gorm Hansen

Det er noget sludder. Hvis man bliver snydt af en bank med dansk banklicens, har man som dansk bankkunde naturligvis krav paa retsstatens beskyttelse. Ganske alm. mennesker handler med valuta hos brokere som Saxo, jeg vil tro at man kan komme i gang med den slags med et indskud paa under 10.000 kr. Men fordi der er tale om gearede investeringer, kan man komme til at tabe langt mere end det man har skudt ind. Problemet ved at laegge sag an mod en bank som Saxo er at de har rigtig mange penge til at forsvare sig med, og at det er svaert at finde en kompetent advokat i DK som kan/vil tage sagen, fordi Saxo allerede er kunde hos de fleste af de store advokatfirmaer. Dine og andres letkoebte fordomme om onde spekulanter som har fortjent at blive snydt, er maaske forklaringen paa at sagen kun har vaeret meget lidt omtalt i pressen, som ellers ynder at berette om bankens stifter og dennes politiske holdninger og bedrifter.

  • 3
  • 1
Jakob Greve

Sikkerheden hos Saxo er også bedre end hos Nordnet. Nogle gange næsten hysterisk.

De har en solid kontrol og complaince, som man ikke finder andre steder.

Mange tænker kun it og arbejdspladser desværre, men hos Saxo får jeg underretninger. Det gjorde jeg ikke andre steder. Meget bedre styr på sikkerheden hos Saxo Bank end noget andet sted, jeg har haft konti.

  • 0
  • 1
per olsen

Danske Banks mobilbank app er ikke meget bedre.
På papiret er der en 2 faktor authentication:
1- appen er låst til min smartphone
2- en simpel 4 tals kode

I realiteten er det dog ikke specielt sikkert hvis min smartphone bliver tabt eller sjålet

Så er 4-tals koden i princippet alt hvad det forhindre nogen i at tømme min konto.

Jeg kan jo lægge en skærmlås på. Men
der er ikke noget krav. Desuden har jeg af bekvemligheds hensyn åbnet telefonen i 5 min efter jeg har tastet skærmkoden ind.

  • 1
  • 5
Anders Frandsen

Men du kan jo netop ikke flytte penge fra dit eget engagement uden nemID i Danske Banks mobilapp. Derudover står det dig frit for at slå funktionen hvor den husker dit login fra. Jeg synes ikke rigtig det er sammenligneligt.

Disclaimer: Jeg er ansat i Danske Bank, men arbejder ikke med Mobil appen.

  • 3
  • 0
Poul-Henning Kamp Blogger

Det er noget sludder. Hvis man bliver snydt af en bank med dansk banklicens, har man som dansk bankkunde naturligvis krav paa retsstatens beskyttelse.

Selvfølgelig har man det, men det er der sjovt nok mange rige mennesker der fravælger, fordi retsstaten måske kunne finde på at spørge hvor de konkrete midler kommer fra, hvem de tilhører, hvorledes og hvor de er beskattet osv.

Du ved, den slags man ikke taler om i skattesnyderghettoen nord for København :-)

  • 3
  • 10
Kjeld Flarup Christensen

Men også at man er meget glad for at være blevet gjort opmærksom på den potentielle svaghed i login-proceduren:

Kan det nu også passe?
Bruger de overhovedet selv deres App, og har de bare en lille smule forstand på sikkerhed.

Det lyder som damage control.
I virkeligheden burde de være enormt flove over at de ikke selv havde set den.

  • 0
  • 1
Benny Lyne Amorsen

Det lyder sikkert provokerende, men autentikering af bankens brugere er dømt til at mislykkes. I stedet skal man autentikere transaktionerne.

Bruce Schneier har skrevet om det helt tilbage i 2006, hvor netbankangreb var et relativt nyt fænomen. Man skulle tro at indlægget ville blive forældet på 13 år, men vi er øjensynligt ikke blevet klogere.

https://www.schneier.com/blog/archives/2006/11/fighting_fraudu.html

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize