Hacket seg inn på egen nettbank
- Jeg fant ikke disse sikkerhetshullene fordi jeg er genial, men på grunn av den dårlige kvalitetssikringen hos BankID, sier NTNU-forsker Kristian Gjøsteen til adressa.no
1,4 millioner nordmenn bruker systemet i dag.
Store konsekvenser
Nå slår kryptologen alarm og ber myndighetene stanse prestisjeprosjektet BankID. Han får følge med professor Kjell Jørgen Hole ved Universitetet i Bergen, skriver Dagens Næringsliv.
Han frykter man uten store problemer kan få tilgang til bankkontoer, legejournaler og trygdeopplysninger.
- Systemet er uegnet til elektronisk identifikasjon. Svindlere vil lett kunne lure til seg passord og engangskoder og deretter stjele sensitive persondata, sier Gjøsteen til DN.
- Folk blir lurt
Foreløpig er id-systemet mest brukt i forbindelse med banktjenester på nett.
På sikt er det ment å brukes på mange andre brukersteder, og BankID er blant annet løsningen regjeringen vurderer å bruke, når innbyggerne en gang i fremtiden skal få anledning til å kommunisere med offentlige etater som helsevesen og trygdekontoret via internett.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsen- Flere kommuner som har tatt det i bruk allerede, forteller Gjøsteen til adressa.no.
Varslet fra
Han jobber til daglig jobber som postdoktor ved Matematisk institutt på NTNU.
Han varslet om systemet første gang i fjor høst da forskere klarte å snike seg forbi sikkerhetsmurene til tross for at BankID har fått høyeste sikkerhetsklarering av Post- og teletilsynet.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenFeilen ble rettet og banknæringen opplyste at alt nå skulle være trygt. Men da Gjøsteen sjekket fant han flere overraskende sikkerhetshull.
- Den første feilen fant jeg i løpet av en halvtime. Derfra gikk det bare utforbakke, forteller han.
Hadde strøket
Tiltak for å hindre hackerangrep var skrudd av og defekte, mens andre oppdagede feil ikke hadde blitt fikset.
Ifølge forskeren hadde studenter i kryptologi strøket hvis de hadde gjort tilsvarende feil.
- Dette er rett og slett dårlig håndverk, og det er så lett og bli lurt. Dette gjelder også svært data-kyndige personer. Det som kan skje er at noen hacker seg inn på din side og erstatter den siden med en svindelside.
Artikkelen fortsetter under annonsen- Vi er vant til at utro tjenere kan stjele pengene våre, men når utro tjenere plutselig får adgang til legejournalene våre, saksmappen på Navkontoret og så videre, da kan det få langt større konsekvenser, sier Gjøsteen til adressa.no.
Godt nok
Post og teletilsynet mener systemet er godt nok.
- Vi har ingen indikasjoner på noe annet, sier avdelingsdirektør Jan Graff.
Bankene jobber for å imøtekomme forskerne, men sier at svært strenge sikkerhetskrav kan gjøre nettbanken mindre brukervennlig.