Nets-brev: NemmereID-app krænker vores rettigheder og skal fjernes straks

Nets beskylder dansk firma bag en NemID-nøglekort-app for at handle i strid med markedsføringsloven og for at krænke Nets' rettigheder.

App-udviklingsfirmaet iDeal Development har modtaget et brev fra Nets, der kræver, at det aarhusianske softwarefirma skal fjerne app'en NemmereID fra Apples App Store. Nets vurderer, at app'en krænker varemærket NemID, som Nets ejer i fællesskab med Digitaliseringsstyrelsen. Desuden mener Nets, at app'en er i strid med markedsføringsloven.

NemmereID har tidligere været omtalt her på Version2. Og det er kort fortalt en app, der gør det muligt at affotografere flere NemID-nøglekort og lagre dem krypteret i en iPhone. Herefter bliver den rette engangskode fundet frem via tekstgenkendelse, når en nøgle bliver indtastet.

Læs også: Iphone-app krypterer NemID-kort og finder den rigtige nøgle med tekstgenkendelse

Af Regler for NemID fremgår det dog af pkt. 3, stk. 2, at det ikke er tilladt at scanne, indtaste eller på anden måde digitalisere eller kopiere nøglerne fra NemID-nøglekortet, som der står i brevet.

Nets mener derfor, at app'en er i strid med markedsføringslovens § 1 om god markedsføringsskik, da app'en har det ene formål at få brugerne til at foretage en handling, der udgør et brud på Regler for NemID.

I den forbindelse giver Nets udtryk for, at brugere, der får deres netbank misbrugt som følge af den digitale opbevaring i NemmereID, muligvis vil kunne kræve erstatning af iDeal Development:

»Forbuddet er indført af hensyn til brugernes egen sikkerhed. Opbevaring af nøglekort på mobiltelefoner og tablets i strid med Regler for NemID vil af denne grund kunne betragtes som grov uagtsomhed. Brugers mulighed for at få et eventuelt økonomisk tab ved misbrug af netbank-adgang dækket af banken vil derfor formentlig kunne begrænses i henhold til lov om betalingstjenester. Det er muligt, at bruger herefter vil kunne rette et erstatningskrav mod iDeal Development APS,« står der i brevet, som Version2 har modtaget en digital kopi af, og som kan ses i sin helhed under artiklen.

Brevet, der er dateret 14. november, giver desuden iDeal Development syv dage til at fjerne app'en.

»Da formålet med NemmereID således er i direkte konflikt med Regler for NemID og markedsføringsloven og ligeledes udgør en varemærkeretlig krænkelse af NemID, skal vi anmode jer om straks og inden syv hverdage fra dato at fjerne NemmereID-app'en fra Apple iTunes App Store og andre eventuelle distributionskanaler/hjemmesider,« står der.

Læs også: Nets og Digitaliseringsstyrelsen advarer mod nøglekort-apps

Solutions Architect og Partner i iDeal Development Esben Bjerregaard erkender, at navnet NemmereID nok overtræder Digitaliseringsstyrelsens og Nets' varemærke.

»Vi læser det sådan, at det med navnet nok er noget, vi er nødt til at imødekomme. Der tror jeg ikke, der er så meget at rafle om,« siger han og tilføjer:

»Lige for øjeblikket overvejer vi, hvad vi skal gøre. Om vi skal pille den af eller gøre noget andet.«

Desuden hæfter Esben Bjerregaard sig ved, at der findes andre lignende apps, hvor nøglekortet også affotograferes på en mobiltelefon.

»Vi synes, det er lidt sjovt, at de kommer efter os efter artiklen på Version2. Der findes jo faktisk andre apps, der har en lignende funktionalitet. Det virker lidt, som om Nets måske ikke selv holder vanvittigt meget øje med, hvad der foregår,« siger han.

Dokumentation

Kopi af brevet fra Nets, som iDeal Development modtog med almindelig post:

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (47)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nils Bøjden

"I den forbindelse giver Nets udtryk for, at brugere der får deres netbank misbrugt som følge af den digitale opbevaring i NemmereID muligvis vil kunne kræve erstatning af iDeal Development:"

Så bilejere der får fartbøder kan afkræve erstatning fra bil producenterne fordi deres bil kan køre hurtigere end fartgrænserne fastsætter?

Jens Jensen

Det er jo nemt at lave grin med NemID og dette er da også lidt et tåbeligt forsøg på at stoppe noget som sikkert ikke kan stoppes.

Papkortet er en af de få ting som rent faktisk fungerer som det skal i NemID-løsningen. At man som firma vil forsøge at tjene penge på at gøre livet nemmere for folk, på bekostning af deres sikkerhed finder jeg usmageligt.

Ja måske er app'en krypteret osv. men ideen med papkortet er netop at det overhovedet ikke er digitalt på nogen måde, og vil derfor altid være mere sikkert end selv den sikreste telefonapp.

Det store spørgsmål er måske også om det virkelig er hurtigere at tænde for en app på sin telefon end at kigge på et papkort ...

iDeal development har i hvert fald luret ideen. Kan man få folk til at betale for noget de ikke forstår konsekvensen af og samtidig bilde dem ind at deres liv er blevet nemmere... så er alt jo godt.

"Jamen de andre gør det jo også!", er desværre en undskyldning som ikke engang virker i skolegården.

IMHO opfører iDeal Development sig mindst lige så tåbeligt i denne sag.

Morten Saxov

Af Regler for NemID fremgår det dog af pkt 3, stk. 2, at det ikke er tilladt at scanne, indtaste eller på anden måde digitalisere eller kopiere nøglerne fra NemID-nøglekortet, som der står i brevet.

Hvis jeg ikke på indtaste eller digitalisere nøglerne fra NemID kortet, hvordan benytter jeg så Nets Java App ? ;)

Mikkel Mortensen

Ja måske er app'en krypteret osv. men ideen med papkortet er netop at det overhovedet ikke er digitalt på nogen måde, og vil derfor altid være mere sikkert end selv den sikreste telefonapp.

Mkay? Folk reagerer hurtigere på deres telefon er væk end på nogen har nappet deres kreditkort (og pung). Og min NemID nøgleviser er da ret digital, godt nok er det en dongle der sidder i mit nøglebundt, men den er da stadig i allerhøjeste grad digital...

Thomas Nielsen

Og min NemID nøgleviser er da ret digital, godt nok er det en dongle der sidder i mit nøglebundt, men den er da stadig i allerhøjeste grad digital...


Bliver nøgleviseren kompromitteret, er det ikke brugeren der dækker tabet, men udstederen. Man har ingen som helst mulighed for at vide hvad der sker med dataene i en "tilfældig" app. Hverken om dem som udgiver den har rent mel i posen eller om de evner at beskytte dataene mod tyveri. Det er da en ret væsentlig forskel. Problemet er jo ikke dem som med åbne øjne [sic] anvender app'en og blot vælger at ignorere risikoen. Problemet er dem som tror at app'en er tilstrækkeligt sikret og ikke erkender konsekvensen i tilfælde af et tyveri.

Claus Canzella

At NemmereID krænker navnerettighederne er én ting - den må de bare "æde" hos iDeal Development. Det bedste der er at sige om det er: "uigennemtænkt". Hvad angår app'en og ideen bag, så kan man jo ikke forhindre at folk foretager sig noget tåbeligt omkring sikkerheden med deres NemID papkort eller IT-sikkerhed i det hele taget, men at man som iDeal Development slår mønt på at lokke folk til at overtræde NemID's regler uden at advare dem om det er noget en dansk IT-virksomhed burde holde sig for gode til. Den slags passer på firmaer mere lyssky lande eller organisationer. Få fjernet den app og find på noget bedre at bruge jeres ressourcer på.

Claus Canzella

Man kan synes om NemID hvad man vil - jeg er heller ikke ubetinget begejstret. Vil man absolut have noget digitalt, så køb en nøgleviser. Den koster godt nok 80 kr. mere end appen fra iDeal Development, men til gengæld holder den sig inden for reglerne, og brug af en kodeviser er kendt sof for mange, og sikkert både hurtigere og nemmere end at fumle telefonen op af lommen finde appen og søge koden.

Esben Bjerregaard

Hej Jens,

IT-Sikkerhed og bekvemmelighed er ofte to ting der strider imod hinanden; Du vil sikkert give mig ret i at kodeord BURDE være 18 cifre lange, består af et tilfældigt udvalg af specialtegn, tal og lowercase/uppercase bogstaver.
I praksis er de fleste kodeord lette at gætte og består af fødselsdatoer, kæledyrsnavne osv osv osv. Fordi det er mere bekvemt. IT-Sikkerhed er kun så god som brugerne gør det til, uanset intensionerne bag.

NemID er et rigtig godt eksempel på denne problematik. For at NemID virkelig er sikkert skal du altid medbringe det fysiske papkort. Sidder du i feks flere virksomhedsbestyrelser har du et nemId kort og et unikt brugernavn til hver bestyrelse - du ender altså med en stak papkort og en liste med brugernavne. Konsekvensen er at mange tager billeder af NemId kortene og ligger dem på telefonen. Er det sikkerhedsmæssigt i orden? Nej selvfølgeligt ikke, men det er en forudsigelig konsekvens af den valgte sikkerhedsløsning med Papkort.

Vores app er lavet fordi vi selv finder papløsningen frusterende, og billeder af kortet på mobilen uacceptabel.
Vi mener selvfølgelig samtidig at vi har lavet en sikkerhedsmæssig forsvarlig løsning (jeg svarer på nogle lidt tekniske detaljer omkring implementation i kommentar feltet her http://www.version2.dk/artikel/iphone-app-krypterer-nemid-kort-og-finder...)

Mvh

Esben Bjerregaard
iDeal Development ApS
www.idealdev.dk

Per Friis

Som flere skriver, så er der mange der bare tager et billede af kortet.
så heller i appen.
jeg kan virkelige ikke se hvordan det kan være mindre sikkert at have det på sin telefon i forhold til på papkortet, hvis du har telefon i lommen og papkortet i pungen, som måske ligger i lommen eller måske i taksen, er papkortet mindst lige så tilgængeligt "for lyssky elementer" som telefonen og (for det meste) har hverken papkortet eller pung en pinkode der skal tastes ind før at det kan åbnes

Søren Koch

Med en meget vigtig forskel:

Med papkortet skal du have FYSISK adgang. med app/foto etc skal du kun have virtuel (netværks) adgang.

Forskellen er at med papkortet skal de fysisk nappe kortet med risiko for at blive opdaget med det samme og inden de kan nå at misbruge det.

Med app/foto ect, kan de principielt gøre det i ro og mag fra nigeria og du opdager det først når misbruget ER sket og penge/hus er væk.

Lars Olsen

Hvorfor er dette ulovligt efter markedsføringsloven? Jeg kan da prøve at bygge en mulig argumentation op:

Lad mig sammenligne med en "mekanisk" nøgle fra en låsesmed.
Det er ubekvemt at have en "takket" nøgle liggende i lommen, men takkerne er der fordi det gør nøglen mere sikker. Det samme er "Papkortets" funktion. Det er netop VIGTIGT at det enten er u-elektronisk eller befinder sig på et andet "elektroniske apparat" end din net/mobilbank.

Hvis der er en privatperson der er dum nok til at file alle takkerne af sin nøgle og rette "indersiden" af låsen så den accepterer en sådan nøgle, så er han et fjols og vil nok næppe få dækning af sit forsikringsselskab ved indbrud.
Hvis der derimod er et FIRMA der sælger den "service" af de fjerner takkerne fra folks nøgler på denne måde...

Bør de måske kunne retsforfølges efter markedsføringsloven?

Thomas Nielsen
Jens Jensen

Og min NemID nøgleviser er da ret digital, godt nok er det en dongle der sidder i mit nøglebundt, men den er da stadig i allerhøjeste grad digital...

Ja ok, digital er et dårligt ordvalg. Men jeg antager dog at din nøgleviser ikke er online 24/7 og derfor stadig umulig at hacke sig ind på udefra?
(Modsat en telefon, hvor folk jo tillader alverdens ting at køre uden tanke over hvad det er.)

Mette Jensen

Før havde jeg nøglekortet liggende i tasken sammen med min iPhone. Nu har jeg kortet på iPhonen, krypteret og med kode på. Bliver iPhonen stjålet bliver alle data slettet. Hvor svært kan det være?
I øvrigt hvorfor pokker har version2 hjemmeside så små bogstaver at detr er umuligt at læse teksten?

Michael Aggerholm

Problemet er at det er ulovligt. Hvis du nu hører til en af de geniale personer, der har en password fil liggende på sin dropbox konto og så liiige et scan af nøglekortet, så er der pludselig intet til hinder for at enhver der kender din dropbox konto login kan lænse din bankkonto.

Og ved du så hvad der sker? Så får du ikke en klejne i erstatning. DET er problemet.

Per Erik Rønne

Der er en del mennesker som ikke synes at kunne se forskel på sikkerheden mellem en iOS-enhed der ikke har jailbroken - og så Android.en

I øvrigt, hvor mange mennesker tror I ikke bruger en facilitet som mSecure til at gemme userid/passwd? For Apple-enheder kan den sættes op til synkronisering (og dermed backup) over iCloud, og generelt kan man synkronisere ved hjælp af DropBox.

Derudover synkroniserer iOS og OSX userid/pswd gennem nøgleringen. Altså ikke længere noget med at skulle indtaste disse ting når man er inde på en hjemmeside på sin iPad eller Mac. Systemet gør det for en, hvis man trykker på en virtuel knap. Og sync finder naturligvis sted over iCloud.

Hvorfor mon sikkerhedsfolkene ikke forlængst har protesteret mod det?

Da jeg læste datalogi på 2. del lavede jeg sammen med en anden gut en opgave om sikkerhed. Vi fandt bl.a. frem til at maksimal sikkerhed ikke altid giver maksimal sikkerhed.

Er den for besværlig at bruge lægger brugeren blot userid/pswd ind på øverste skuffe i skrivebordet, den med en glasplade øverst, den skuffe der er beregnet til telefonnumre.

Man skal nøjes med at bruge maksimal sikkerhed, hvor alle kan se at det er nødvendigt. Som når det drejer sig om affyring af atomvåben ... ellers ender det med at man får minimal sikkerhed.

Christopher Bonitz

Jeg kan kun erklære mig enig, faktisk lavede jeg et lign produkt da nem-id kom ud, jeg kunne dog hurtigt se at det jeg havde gang i aldrig kunne blive til en succes på grund af reglerne.
jeg nåede faktisk frem til et mindre produkt (tuff-id) som var en webløsning der automatisk digitaliserede pap kortet og skrev det ind via et firefox plugin.
men desværre blev det aldrig udgivet til nogen platforme.

jeg kunne læse på iDeal Developments hjemmeside at det er et "ungt firma" det er dog utrolig uprofessionelt ikke at tjekke simple regler... faktisk i så gral en form at jeg nærmest er stødt...

Sune Riedel

...Hvis du nu hører til en af de geniale personer, der har en password fil liggende på sin dropbox konto og så liiige et scan af nøglekortet, så er der pludselig intet til hinder for at enhver der kender din dropbox konto login kan lænse din bankkonto.

Hvordan gør de det, uden at kende dit password?

Jeg er med på at man potentielt sænker sikkerhedsniveauet ved at tage et billede af sit papkort, men det er jo ikke det samme som at man trækker bukserne ned og bøjer sig fremover...

I min verden, så er det her lidt den samme diskussion som man af og til ser omkring "hvad er et sikkert password". Et sikkert password er langt, består af tal, bogstaver og specialtegn og bliver skiftet ud ofte. Uanset hvad man mener om sikkerhed og hvad man har af personalepolitik og brugerbetingelser, så er det både sikkert og vist, at jo højere krav man stiller til passwordsikkerhed (herunder hvor tit de skal udskiftes), jo mere sikkert er det, at brugerne skriver dem ned og har dem liggende i nærheden af hvor de skal bruges - ikke fordi, de synes det er sjovt, men fordi de ikke har tid til at hænge i supportlinien til IT for at få nulstillet deres password, når de har glemt det.

Der er ingen silver bullet - alle former for multiple factor biometrisk kryptografiske (find selv på flere) tiltag for at øge sikkerheden, skaber nogle andre problemer - enten fordi brugeren er nødt til at forbryde sig på reglerne for at få hverdagen til at fungere, eller også bliver brugernes sikkerhed (potentielt) kompromiteret af selve systemet.

Søren Koch

Hvordan de får dit password?

Nemt nok, de får da bare installeret en keylogger på din PC/smartphone via en sårbarhed i browser el lign eller gør det direkte med et phishing angreb.

Det er allerede set med netbank og nem-id som det er, men der var de stadig afhængige af at kunne lave en MITM (hvor brugeren så fik en fejlside), med et photo/app af nøglekort er det ikke længere nødvendigt og kan laves uden at offered ved noget eller kan se at noget er galt før pengene er væk.

Sune Riedel

Nemt nok, de får da bare installeret en keylogger på din PC/smartphone via en sårbarhed i browser el lign eller gør det direkte med et phishing angreb.

Det er allerede set med netbank og nem-id som det er, men der var de stadig afhængige af at kunne lave en MITM (hvor brugeren så fik en fejlside), med et photo/app af nøglekort er det ikke længere nødvendigt og kan laves uden at offered ved noget eller kan se at noget er galt før pengene er væk.

OK - så vi er enige om, at passwordet ikke bare er noget de får leveret med, når de "snupper" dit papkort billede - og som du selv nævner, så kan systemet allerede i sin nuværende form kompromiteres f.eks. via MITM - så det der sker, hvis man tager et billede af kortet med sit kamera, er ikke at man går fra 100% sikker til 0% sikker - man går fra mere sikker til mindre sikker - som jeg også skrev i mit oprindelige indlæg (i en lidt anden formulering).

Kaj Jensen

Jeg har mange nøglekort og kan slet ikke forestille mig at skulle bære dem alle i pungen eler lignende så jeg tager chancen med billeder. Det har fungeret fint lige siden nem id kom til.

Man kan evt. selv kryptere billederne og holde dem på mobilen.

Hvis Nets skal undgå at erstatte tab skal de først bevise at man har omgået betingelserne.

Anders Rosendal

Og min NemID nøgleviser er da ret digital, godt nok er det en dongle der sidder i mit nøglebundt, men den er da stadig i allerhøjeste grad digital...


Aaaargh. Ikke helt ligeså digital som en jpg fil vel?
Jeg vil ihvertfald sætte penge på at jeg kan lave en perfect kopi af en jpg hurtigere og nemmere end du kan lave en kopi af din "digitale" dongle.

Richard Tøpholm
Sune Marcher

PapID? FotoID? DårligID? Mulighederne er mange... :-)


Jeg foreslår hermed "ElektroPap". Der er ingen referencer til NETS' varemærke, og det er lidt ungt, smart og funky - samtidig med der er en reference til det problem, app'en forsøger at løse.

Det vil dog stadig ikke få mig til at anvende app'en, da jeg kun har brug for et enkelt papkort, og godt kan lide den sikkerhed det giver mig.

Christian Nobel

Bliver nøgleviseren kompromitteret, er det ikke brugeren der dækker tabet, men udstederen

Det er nødt til at være lidt mere nuanceret, da man har fået lavet den meget uskønne fællesløsning for "for det hele", i stedet for en klar adskillelse af bank og stat.

I tilfælde af bankkompromittering er der "kun" tale om penge, samt en diskussion om hvem der skal erstatte hvad, og hvilken selvrisiko der er.

Taler vi om identitetskompromittering er det straks meget mere alvorligt, da det ikke giver mening at tale om erstatning eller selvrisiko, da skaden i værste tilfælde ikke kan gøres op.

Michael Bæk

For det første har du lige selv sørget for, at det bevis er let tilgængeligt til evig tid i form af én googling. Tak for det.

For det andet kommer den erstatning du skulle have haft i sagens natur fra de øvrige kunder. Med andre ord er dit argument gennemført usympatisk.

Jeg har mange nøglekort og kan slet ikke forestille mig at skulle bære dem alle i pungen eler lignende så jeg tager chancen med billeder. Det har fungeret fint lige siden nem id kom til.

Man kan evt. selv kryptere billederne og holde dem på mobilen.

Hvis Nets skal undgå at erstatte tab skal de først bevise at man har omgået betingelserne.

Log ind eller Opret konto for at kommentere