Bank blotlagde personinformation og foto af pas med ny webformular: »Det er flovt«

Illustration: leowolfert/Bigstock
En opmærksom Version2-læser har opdaget noget af en brøler i en webformular hos Vestjysk Bank, der blotlagde informationer trods løfter om kryptering.

I it-regi er det eneste, der er værre end dårlig it-sikkerhed, nok falsk it-sikkerhed. Det var nogenlunde det, der var tilfældet, da en Version2-læser bemærkede en mildest talt uheldig omgang med personfølsomme data, da han blev bedt om at sende data til legitimations-oplysninger til banken som konsekvens af den såkaldte hvidvaskningslov.

Det foregik via en nyoprettet webformular, der skulle være til sikker kommunikation med Vestjysk Bank. Men i stedet endte dataene med at blive sendt over nettet i ukrypteret mail-format, ligesom pasbilledet, Version2-læser Bjørn Damborg Froberg havde vedhæftet, endte med at være tilgængelig for alle med den rette URL.

Sikkerhedsproblemet er nu fikset, men udviklingschef i banken Carsten Anderson er ikke stolt af implementeringen, der i princippet blotlagde personoplysninger stik mod Datatilsynets anbefalinger på området.

»Det er noget rigtig skidt, vi har lavet. Vi er selvfølgelig enige i Datatilsynets anbefalinger,« siger Carsten Anderson.

Banken havde netop lanceret webformularen, der skulle sikre krypteringen. Formularen havde kun været i luften i omkring seks dage, før Bjørn Damborg Froberg 25. februar gjorde banken opmærksom på problemer i forhold til sikkerheden. Herefter blev sikkerhedshullet lukket i løbet af et kvarter, fortæller Carsten Anderson.

Pas kunne tilgås af alle

Hullet skyldes, at selvom informationerne sendt via formularen ganske vist blev krypteret, så fik kunden automatisk en retur-mail med oplysninger, som ikke var krypteret. Eksempelvis indeholdende CPR-nummer. Og hvad værre er: et link til billedmateriale sendt via webformularen, i Bjørn Damborg Frobergs tilfælde et indscannet pas.

Linket havde format af:
http://www.vestjyskbank.dk/Files/Files/FormUpload/XXXXXXXXXXXXXXXX_Pas.jpg

Bjørn Damborg Froberg testede, om billedets URL kunne tilgås af andre, og det kunne det. Carsten Anderson bedyrer, at der ikke længere bliver sendt en autogenereret og ukrypteret mail retur til kunderne med personfølsomme oplysninger, og det skulle heller ikke længere være muligt for uvedkommende at tilgå indhold på http://www.vestjyskbank.dk/Files/Files/FormUpload/

Vestjysk Bank har selv i samarbejde med bankens it-leverandør udviklet løsningen, som Carsten Anderson medgiver har været for dårligt testet.

»Vi har ikke fået det testet ordentligt. Normalt er vi meget omhyggelige med at få testet den slags ordentligt. Hvis der er nogen, der går ind for datasikkerhed, så er det os, det er en beklagelig fejl, og det er ikke noget, vi normalt sløser med,« siger udviklingschefen og fortsætter:

»En bank skal man jo kunne stole på. Hvis man indtaster noget personfølsomt på vores hjemmeside, skal man jo kunne stole på, det kun er banken, der modtager det - og ingen andre.«

Vi er flove

I forhold til webformularen med den problematiske implementering lyder det ærligt fra Carsten Anderson:

»Vi er egentlig flove over den.«

Bjørn Damborg Frobergs oplevelser med it-sikkerheden i Vestjysk Bank er dog ikke helt slut. Han fortæller i en henvendelse til Version2, hvordan han i første omgang blev opfordret til at sende alle informationer i en mail. Det afviste han dog at gøre og blev først derefter gjort opmærksom på den - på daværende tidspunkt - ikke så sikre webformular. Men at sende personfølsomme oplysninger i en mail er ikke i overensstemmelse med bankens politik, lyder det fra Carsten Anderson.

»Bankens anbefaling er, at man bruger den krypterede formular eller gør det via vores netbank, der også er sikker. Det er ikke bankens politik at sende den slags på mail. Det er ikke noget, banken anbefaler, og det er ikke noget, vi anbefaler nogen som helst at gøre. Det er også imod vores it-sikkerhedspolitik,« siger Carsten Anderson.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Friis

Hvorfor er HTTPS et tilvalg bankerne skal lave på deres nye web funktioner?

Jeg nægter at tro der er så stort et performance tab at det ikke kan betale sig for alle banker at køre hele deres website ud af HTTPS, altid. Bare denne artikel må da koste dem dyrt.

Det sender da også godt signal til den besøgende og indgyder måske ligefrem yderligere tiltro til at det fortsat er sikkert når man så logger ind i Netbank.

Som jeg forstår HTTPS så er det kun første handshake der tager længere tid. Derefter bliver handshaket holdt i live (standard opførsel i HTTP/1.1), og alt efterfølgende data glider igennem som var det HTTP. Man går meget op i responstiden på sin forside hvis man ikke kan æde det lille performance drop første gang brugeren kigger forbi.

Peter Larsen

som jeg i mit sidste blogindlæg har afsløret er der en del sites som tillægger "ssl kryptering" det at hængelåsen er på: http://new.czar.dk/2014/01/08/den-perfekte-ssl-cipher-og-kombination-af-...

det gælder også for vestjyskbank.dk https://www.ssllabs.com/ssltest/analyze.html?d=vestjyskbank.dk

At kalde det en sikker forbindelse er en fornærmelse i disse nsa/snowden tider

Henrik Pedersen

Den lille bank på Lolland, SparLolland kunne finde ud af det:
http://www.sparlolland.dk/ smider dig til https://www.sparlolland.dk/

Jyske Bank som overtog Spar Lolland er der i mod lige meget skvadderhoveder, og viderstiller fra https til http hvis du besøger forsiden af den vej.
Og ja jeg er enig, performance hittet et så minimalt, lad nu bare hele siden køre via HTTPS. I princippet kunne jeg lave man-in-the-middle angreb og forfalske deres kontakt informationer eller give andre "vigtige meddelelser" som kunne repræsentere en indgangsvinkel til spear-phishing. Alle sider af samme karakter som banker og lignende bør have HTTPS og hvis det er så stort et performance problem, så er jeg 100% på at de kan optimere noget andet faktor 100, før de begynder at kigge på problemerne i HTTPS.

Niels Rahbek

Jeg har oplevet præcist det samme hos Tryg. Man udfylder en online forsikringsanmeldelse med en masse personfølsomme oplysninger, men føler sig nogenlunde sikker fordi det sker over en krypteret forbindelse. Kort efter får man en kvittering retur i en almindelig mail, inkl. en kopi af alle de indtastede oplysninger...

Steen Larsen

Et andet problem er at myndighederne forlanger at flere og flere virksomheder ser vores pas. Hvis en virksomhed kiggede på dit pas (og ikke en kopi) ville det egentlig nok virke.

Men når banker, mobiltelefonbutikker, etc. etc. alle tager en kopi af vores pas ender det med at denne information ligger og flyder en hel masse steder hvor den nemt kan opsnappes af diverse kriminelle.

Jeg ved ikke om loven bare kræver at bankerne ser vores pas eller om den kræver at de tager en kopi. Det skulle ikke undre mig om kopien skyldes at bankens interne revision vil se bevis for at banken rent faktisk har set et pas - men dette kunne jo klares ved at bare skrive pas nummeret ned.

Mvh
Steen

Gert Madsen

Nej.
Jeg har spurgt finanstilsynet direkte. Der er ingen krav om at bankerne skal have en kopi af pas, eller andet. Der er krav om at bankerne kender identiteten på de folk, som de "handler" med. Det er alt.

Hvordan man kan få nogen som helst mening ud af at kræve billedlegitimation, uden at man samtidigt ser den person som skal legitimere sig, det forstår jeg ikke. Og det kan med rette bebrejdes myndighederne.
Og som det nævnes ovenfor, så er det også tilstrækkeligt at man har noteret pasnummer.

Det oplagte er jo at en bankmedarbejder skriver under på at have forvisset sig om at det er den rigtige person man handler med.

Men så ligger ansvaret jo eentydig på banken.
Med det andet har man jo en chance for at påberåbe sig god tro. At man så samtidigt udsætter sine kunder for identitetstyveri er man pænt ligeglade med.
Man har nemlig via brancheorganisationen sikret sig, at ingen kan få bedre forhold hos konkurrenten.

Log ind eller Opret konto for at kommentere