Skandiabanken lanserte tidligere denne måneden en aksjesparekonto. Dessverre var ikke løsningen helt feilfri. Dette oppdaget utvikleren Roy Solberg da han selv skulle opprette en slik konto. Ved hjelp av utviklerverktøyene i nettleseren Vivaldi oppdaget han et Ajax-kall som inkluderte ett av hans bankkontonumre. Dette skriver Solberg i dette blogginnlegget.
Dette kallet returnerte et JSON-formatert dokument som blant annet inneholdt saldoen og navnet på den aktuelle bankkontoen.
I utgangspunktet er ikke dette så oppsiktsvekkende, men Solberg var nysgjerrig.
Også andres kontoer
Han fikk derfor tillatelse til å teste med kontonummeret til en venn, som også har konto hos Skandiabanken. Det viste seg da at Solberg fikk tilgang til de tilsvarende dataene om vennens bankkonto.
Samme dag varslet han Skandiabanken om sårbarheten. Bare timer etterpå, hadde banken utviklingsteam fjernet den.
– Dette må være den raskeste rettelsen av et sikkerhetsproblem jeg noen gang har sett, skriver Solberg i blogginnlegget. Da hadde sårbarheten trolig bare vært tilgjengelig i noen timer, siden Skandiabanken lanserte aksjesparekontoen samme dag.
Ifølge Solberg ble han senere oppringt av en person i ledelsen hos Skandiabanken som fortalte at de var takknemlige for at han hadde funnet sårbarheten og varslet banken om dette.
Solberg opplyser at han selv har jobbet med nettbankløsninger som IT-konsulent og vet hvor nøye denne bransjen er med sikkerheten. Han forteller at han er godt fornøyd med hvordan Skandiabanken håndterte denne saken.
Les også: Norsk mobilapp åpnet for tapping av masse informasjon om norske bileiere
Nytt problem?
Noen dager senere hadde Solberg navigert inn i en ny del av nettbanken som kalles for «Min sparing». Han forlot pc-en en god stund og oppdaget da han kom tilbake at nettleseren fortsatt var logget inn. I det meste av nettbanken til Skandiabanken logges man ut etter 20 minutter med inaktivitet, men i denne delen er tiden satt til å være ni timer.
Solberg mener dette kan utnyttes av andre, dersom de får tilgang til cookiene. Da kan de for eksempel holde økten åpen fra en helt annen maskin, siden økten ikke er knyttet til noen IP-adresse.
Solberg varslet Skandiabanken om dette også, men i dette tilfellet skal banken ha svart at dette er ønsket funksjonalitet. Men Solberg skriver at han er litt urolig over dette kan gjøre det mulig for uvedkommende å holde øye med økonomien hans, uten at han er klar over det.
Leste du denne? Det var ikke mangel på redundans som førte til DNBs nettbankproblemer (Digi Ekstra)
– Positivt
Mens enkelte selskaper har anmeldt kunder og andre som varsler om sikkerhetshull, er Skandiabanken glade for å få bli varslet om sikkerhetsproblemer i bankens systemer.
– Vi er positive til enhver som bidrar til økt sikkerhet, og jeg ringte Solberg personlig samme dag og takket ham for at han gjorde oss oppmerksomme på dette før vi rakk å oppdage dette selv, sier Christoffer Hernæs, leder for IT og innovasjon hos Skandiabanken, til digi.no.
På spørsmål om Skandiabanken vurderer å utbetale dusør til tips om sårbarheter, avviser ikke Hernæs tanken.
– Vi har ingen policy knyttet til belønning i dag, men dette er absolutt en kilde til kontinuerlig forbedring vi vurderer, avslutter han.
Les også: Rapporterte sikkerhetshull, men fikk ingen takk. I stedet ble tenåringen arrestert