Företaget Tink har i en kommentar replikerat på tidigare blogginlägg om hur folk lämnar ut sina banklösenord till tjänsten. I sedvanlig ordning publiceras angripet företags replik som separat blogginlägg.
Fredrik Hedberg, CTO och grundare av Tink skriver:
“Hej! Ville bara kort försöka räta ut några frågetecken kring punkterna du tar upp som vi uppenbarligen varit dåliga på att förklara tidigare.
Vi använder samma autentiseringsmetoder som banken valt och du kan nu välja Mobilt BankID för alla storbanker. Tink fungerar då säkerhetsmässigt exakt som bankens vanliga app och koden till Mobilt BankID sparas inte. Varken vi eller en bedragare kan alltså ta ut dina pengar utan att du själv behöver signera transaktionen separat med Mobilt BankID.
Det har aldrig varit förbjudet att använda koderna i tjänster som Tink, även om vissa gjort sitt bästa för att hävda motsatsen. Förra veckan satte också EU ner foten i frågan genom den senaste betaltjänstlagen, PSD2. Lite info finns på [1], kommer mer så snart det är publicerat (vi sitter i Regerings referensgrupp för PSD2).
Hade det funnits någon mer relevant säkerhets-certifiering hade vi skaffat den omgående. I väntan på EU-reglerna så har vi gjort två security reviews av Sveriges främsta IT-säkerhetsbolag – deras utlåtande: “ni är säkrare än en bank”.
Force Majeur innebär att vi inte kan göras ansvariga för saker som vi inte kan råda över (ex. vulkanutbrott). Det är ingenting vi kan gömma oss bakom om vår säkerhet varit för dåligt och du hittar samma sak i avtalet med din bank.
Tink laddar aldrig ner någon annan data än den vi visar upp för dig i appen och delar aldrig med oss av annat än anonymiserad data på aggregerad nivå.
Har du eller någon av dina läsare fler frågor eller kommentarer så svarar jag gärna på dessa på [email protected].
Bästa hälsningar,
Fredrik Hedberg, CTO, grundare Tink
[1] http://www.socialdemokraterna.se/Webben-for-alla/EU/EU/Ledamoterna-/olle/Mediany/Pressmeddelanden/Nya-EU-regler-gor-det-enklare-billigare-och-tryggare-att-betala/”
Oavsett vad som är tillåtet så måste koder i något läge vara i klartext för att användas, och går därmed att för en person med rätt behörighet eller tillgång till Tinks system, dvs någon anställd på Tink, få tillgång till inloggningsuppgifter och kan därmed manuellt på annat håll göra allt som tillåts med tillgång till inloggningsuppgifterna, vilket för ett antal banktjänster som Avanza, Nordnet, Ikano, Ica mfl innebär allt, inklusive överföringar. Eller om inte annat snoka runt bäst de vill i din ekonomi.
Att Tink aldrig laddar ner någon annan data är inte problemet. Problemet är att du lämnar ut dina inloggningsuppgifter som kan missbrukas. Det är som att lämna ut nyckel och larmkod till din bostad till någon du inte ens vet namnet eller bakgrunden på.
Vad Tink gör inom användaravtalet är inte problemet, problemet är att man förutsätter att alla som har tillgång till Tinks system, idag och i framtiden, har rent mjöl i påsen.
Sedan bör avtalet specificera vad som är Force Majeur, t ex cyberterrorism, som kan ge tillgång till inloggningsuppgifterna.
“Sveriges främsta IT-säkerhetsföretag” bör nog namnges, så andra företag kan anmäla en avvikande åsikt kring vilket bolag som är detta. Avgörande är inte vilket företag, utan vilken person på företaget som gjort denna granskning – det kan vara nyutexaminerade Bert, 24, som gjort granskningen även om man är “Sveriges främsta IT-säkerhetsföretag”. Dessutom måste detaljer kring vad granskningen innebär finnas.
Har t ex “Sveriges främsta IT-säkerhetsföretag” manuellt granskat all källkod, samt följt hela kedjan från att denna kompilerats till driftsättning och konstaterat att det inte finns några bakdörrar eller någon loggning där behöriga personer kan få tillgång till inloggningsuppgifter i klartext?
Oavsett ett tack till Tink för sin replik.
19 kommentarer
Sveriges bästa it-säkerhets företag? Snubbarna i en stuga som står för Vita Husets infosec eller?
Man fyller ju i sina uppgifter i appen mobilt bankID, inte hos tink.
Detta är verkligen inte mitt område, men hur skulle appen tink lyckas känna av vad du skriver in i mobilt bankID appen? Någons slags trojan keylogger för mobiler?
Det är Tink som initierar begäran om mobilt BankID. Som användare har du ingen aning om någon hos Tink är inne och manipulerar, t ex avbryter din inloggning och sedan begär en manuell egen inloggning, som du autentiserar. Själv märker du inget om du inte lusläser uppgifterna i Tink-appen som inte uppdaterats korrekt.
Perfekt upplägg för en man-in-the-middle alltså.
När du som avsett använder Mobilt BankID för egen direkt inloggning ser du ju direkt om du autentiserade din egen inloggning – du loggade ju in och kommer in i tjänsten. Om någon annan initierade en begäran millisekunden innan kommer du märka det på att du inte lyckades logga in eller att det kommer två begäran.
Hur hål i huvudet är det att autentisera en inloggning du själv har noll koll på?
"Hej, jag ringer från Väktarbolaget! Kan du ge mig ditt larms kod?"
Vem lämnar ut en sådan kod då, utan en korrekt challenge-responese?
Tänk inte som ett får, tänk som en hacker.
Fast det problemet finns ju även på alla siter som erbjuder inloggning med mobilt bank-id? Dessutom måste du ju förutom att autentisera inloggningen även autentisera varje överföring. I den rutan i bank-id-appen står det även exakt vad du autentiserar, t.ex. "betalning 1000 kr till Cornucopia?"
Nej, eftersom när DU loggar in själv så ser du att din inloggning lyckades. Du ser nu bara vad Tink presenterar för sammanställning. Vad inloggningen till din bank egentligen användes till ser du inte.
I det här fallet godkänner man att tink-appen loggar in, och därmed litar man på appen precis som man litar på SEBs egen app. Jag har lite mer förtroende för t.ex. SEB än för ett obskyrt appföretag vad gäller säkerheten på appar, hantering av källkod, bygge och release av den färdiga appen.
Appen kan utan problem låtsas vara en browser mot SEB men mot dig visa upp något helt annat, och under fasaden göra allt som du kan göra när du själv loggat in på banken.
Dessutom kan man nog få tillbaka pengarna om det är bankens egen app som är problemet, medan det verkar mindre troligt att få tillbaka något om det är en app som någon källarfirma, eller finnig tonåring skapat. Snarare har du brutit mot bankens regler och kan i värsta fall bli åtalad eller utsparkad.
Hur vet du att din banks app på din telefon verkligen ansluter till din bank? Kontrollerar du all nätverksutrustning mellan dig och din bank?
Allt handlar om förtroende, om du litar på Tink kan du använda deras tjänster.
Om appen är korrekt kommer den tillsammans med banken att upprätta ett säkert krypterat kontext mellan appen till banken. Och det är i det närmaste omöjligt att lägga sig i mitten någonstans i nätverket och ha någon nytta av att ligga i mitten. Inte ens NSA kan det inom rimlig tid. En vanlig router ligger förstås i mitten, men bitströmmen som passerar är krypterad.
… om appen är korrekt.
Jag håller med Lars och avråder folk ifrån att använda tjänster som Tink.
Det finns andra tjänster där man bara kan klistra in/importera sin kontohistorik, ja de är inte lika enkla men fan så mycket säkrare.
Oavsett vad Fredrik från Tink skriver så kan han inte garantera någon säkerhet, det är redan osäkert med digitala pengar som det är, blir inte bättre av att lägga till ytterligare ett riskmoment.
Banker har pengar och resurser för att åtminstone försöka göra internetbanken säker.
Tink ett bolag som i sin senaste redovisning inte ens haft en omsättning och ett resultat på -4,6 miljoner som påstår sig vara säkrare än banken, det är för fan skrattretande.
Inte ens jag som är normalbegåvad skulle i mina kraftigaste delirium lämna ut koden till dylik tjänst. Nog illa att hustrun kan dem.
Det är både lätt och vanligt med man in the middle attacker. De flesta mjukvaror innehåller också fel, som ofta kan missbrukas. mjukvaror uppdateras kontinuerligt och i samband med detta uppstår ofta nya fel.
Herr bloggare C kanske skulle fundera på att välja https för bloggen om han nu vurmar så över säkerheten. Eller är det så att han vet att han skriver rent hypnotiskt för psyopsar som FRA/NSA är intresserade av, och därmed gör en samhällsgärning i dubbel bemärkelse, samtidigt som han klär av etablissemangets lakejer i bara mässingen?
Ni missförstår hur den här sortens autentisering fungerar. Tink fungerar på samma sätt som när ni använder Facebook- eller Google-konto för att logga in på en extern tjänst – och ni tror väl inte att dessa externa tjänster på något sätt kommer åt ert Facebooklösenord?
Så här fungerar det, förenklat: man loggar in på BankID/Facebook/Google. BankID returnerar en "token" – en lång textsträng (ni kan ofta se den i adressfältet när ni loggar in med Google på en extern tjänst) som inte har något med ert lösenord att göra. Samma token skickas samtidigt till din bank. Tink skickar sedan denna token till din bank som jämför med den den fått från BankID. Stämmer det blir man insläppt. BankID har olika sorters tokens, engångs eller flergångs. Tex Swedbank använder en engångstoken – detta innebär att du måste logga in på BankID varje gång du vill uppdatera ett Swedbankkonto i Tink – medan Handelsbanken erbjuder en token som är giltig i en månad (tror jag).
Skaffa lite kunskap innan ni har så mycket åsikter.
Kritiken mot användandet av EN OCH SAMMA inloggningskod(dvs BankID) till allt fler finansiella internettjänster har vuxit och först i efterhand tycks det som "alla" börjar förstå riskerna. Av erfarenhet vet vi att alla system har sina brister i början. Frågan är vad dessa brister ska få kosta. Marknad brukar gå före säkerhet i marginalsammanhang. Och ju snabbare tillämpningarna av ny teknik tas i bruk desto större utrymme för inkomster men även för brister och barnsjukdomar i bästa fall samt rena systemfel i värsta fall. Om den ekonomiska potentialen för nya tillämpningar är stor men där också nya produkter riskerar en kort livscykel föreligger incitament att snabbast möjligast nå en marknad. Inte minst för att försöka först ute och t.ex skapa en standard. Klarna t.ex.
Vad säger våra myndigheter och politiker om t.ex BankId som standard-nyckel till allt fler tjänster? Någon insatt?
Inser att det kan vara skört……tom dumdristigt.
Men vad är alternativen i dagens samhälle?
Återgång till guldmynt? Bytes handel, min kyckling mot dina strumpor?
Vi som konsumenter är egentligen alltid förlorare, oavsett.
Ja precis som ett får.
Alldeles övertygad om herr bloggare också är ett får i mångt och mycket men attraheras det lite paranoida och rättshaveristiska i dagens samhälle och det är väl bra 😉
Tack för varningen……………men det löser inga problem.