Inrikes

Foto: svt

Stora säkerhetsbrister i bank-app

Uppdaterad
Publicerad

Datainspektionen anser att det finns säkerhetsbrister i Danske banks mobilapp. Därför uppmanar myndigheten banken att förbättra säkerheten, annars förbjuds appen.

För alla som får tag på någon annans personnummer och pinkod är det fritt fram att logga in på deras mobilbank. Det kan göras från alla smarta telefoner som har bankens app installerad. Vid ett sånt angrepp går det inte att komma åt pengarna, men angriparen kommer över en hel del information.

Adolf Slama, it-säkerhetsexpert hos Datainspektionen, tar upp några exempel på personlig information som kan hamna i fel händer.

– Vad har du handlat, har du varit hos en läkare och betalat en läkarräkning, hur mycket får du i lön och vilka lån har du?

Datainspektionen vill ha förändring

För att förhindra det här valde Datainspektionen för en tid sedan att granska tre bankappar med potentiella säkerhetsrisker. Det var apparna hos Handelsbanken, Nordea och Danske Bank som hamnade i fokus. Sedan dess har de tre storbankerna ombetts att lämna in förslag på förbättringar och nu har Datainspektionen sett över dem. 

Både Handelsbanken och Nordea föreslår att bankkunden ska skyddas av att appen knyts till en specifik telefon. Användaren måste ladda ned appen och sedan aktivera den, tillsammans med pinkoden ska det ge ett bättre skydd. Då kommer det endast gå att logga in via den telefonen. Det är ett förslag som Datainspektionen godkänner.

Danske Bank får inte godkänt

Danske Bank vill att användares unika sätt att slå in sin kod ska garantera att angriparen inte tar sig in. Det personliga beteendemönstret gällande hur snabbt eller hur hårt man trycker på skärmen ska, tillsammans med pinkoden, skapa ett bra skydd.

Här ifrågasätter Datainspektionen hur man ska hitta den medelväg där andra människor garanterat stängs ute, samtidigt som bankkunden själv alltid kan logga in oavsett väder och fysiskt tillstånd.

– Den lösningen de föreslår håller inte måttet. Vi kommer att följa upp det här. Har de inte gjort något då så kan vi förbjuda dem att ha appen igång, säger Adolf Slama, it-säkerhetsexpert hos Datainspektionen.

Kräver nytt förslag nästa år

Datainspektionen vill att Danske Bank kommer med ett nytt förslag under andra halvan av 2014.

Danske bank säger i ett mail till SVT att de ska se över beslutet och se om de godkänner det eller vill överklaga. 

Nu hoppas Datainspektionen att besluten gällande de tre bankerna som var med i granskningen ska skicka signaler till landets övriga banker.

Fakta

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.